- Сообщения
- 5.680
- Реакции
- 3.518
MakОС:
Вернитесь к более раннему моментальному снимку в Virtualbox (или любом другом программном обеспечении для виртуальных машин, которое вы используете) и выполните команду Trim на своем Mac с помощью Дисковой утилиты, снова выполнив первую помощь на хост-ОС, как описано в конце следующего раздела.Хост ОС:
Большую часть информации из этого раздела также можно найти в этом замечательном руководстве
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
[Archive.org]База данных карантина (используется Gatekeeper и XProtect):
macOS (вплоть до Big Sur включительно) хранит карантинную базу данных SQL для всех файлов, которые вы когда-либо загружали из браузера. Эта база данных находится по адресу ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.Вы можете запросить его самостоятельно, выполнив следующую команду из терминала:sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Это золотая жила для судебной экспертизы, и вы должны отключить это:
Выполните следующую команду, чтобы полностью очистить базу данных::>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Выполните следующую команду, чтобы заблокировать файл и предотвратить дальнейшую запись в него истории загрузок:sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Наконец, вы также можете полностью отключить Gatekeeper, введя следующую команду в терминале:
- sudo spctl --master-disable
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
[Archive.org]В дополнение к этой удобной базе данных каждый сохраненный файл также будет содержать подробные атрибуты файловой системы HFS+/APFS, показывающие, например, когда он был загружен, с помощью чего и откуда.
Вы можете просмотреть их, просто открыв терминал и набрав mdls filenameи xattr -l filenameв любом загруженном файле из любого браузера.
Чтобы удалить такие атрибуты, вам придется сделать это вручную из терминала:
Запустите xattr -d com.apple.metadata:kMDItemWhereFroms filename, чтобы удалить источник
- Вы также можете просто использовать -dr, чтобы сделать это рекурсивно на всей папке/диске.
- Вы также можете просто использовать -dr, чтобы сделать это рекурсивно на всей папке/диске.
(Обратите внимание, что Apple удалила удобную опцию xattr –c, которая просто удаляет все атрибуты сразу, поэтому вам придется делать это для каждого атрибута в каждом файле)
Эти атрибуты и записи останутся, даже если вы очистите историю браузера, и это явно плохо для конфиденциальности (верно?), и на данный момент мы не знаем ни одного удобного инструмента, который бы справился с этим.
К счастью, есть некоторые способы избежать этой проблемы, поскольку эти атрибуты и записи устанавливаются браузерами. Итак, мы протестировали различные браузеры (на macOS Catalina, Big Sur и Monterey), и вот результаты на дату написания этого руководства:
Браузер | Запись в БД карантина | Атрибут файла карантина | Атрибут исходного файла |
| Сафари (обычное) | Да | Да | Да |
| Сафари (приватное окно) | Нет | Нет | Нет |
| Фаерфокс (обычный) | Да | Да | Да |
| Firefox (приватное окно) | Нет | Нет | Нет |
| Хром (обычный) | Да | Да | Да |
| Chrome (частное окно) | Частичное (только метка времени) | Нет | Нет |
| Храбрый (обычный) | Частичное (только метка времени) | Нет | Нет |
| Храбрый (Частное окно) | Частичное (только метка времени) | Нет | Нет |
| Храбрый (Окно Тора) | Частичное (только метка времени) | Нет | Нет |
| Тор Браузер | Нет | Нет | Нет |
Очистить QuarantineEventsV2 легко, как описано выше. Удаление атрибутов требует некоторой работы. Brave — единственный протестированный браузер, который не сохраняет эти атрибуты по умолчанию при нормальной работе.
Различные артефакты:
Кроме того, macOS ведет различные журналы подключенных устройств, подключенных устройств, известных сетей, аналитики, версий документов…См. этот раздел этого руководства, чтобы узнать, где найти и как удалить такие артефакты:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
[Archive.org]Многие из них можно удалить с помощью различных коммерческих сторонних инструментов, но мы лично рекомендуем использовать бесплатный и известный Onyx, который вы можете найти здесь:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
[ Архив.org] . К сожалению, он закрытый, но нотариально заверенный, подписанный и пользующийся доверием уже много лет.Принудительно выполнить операцию обрезки после очистки:
Если ваша файловая система APFS, вам не нужно беспокоиться об обрезке, это происходит асинхронно, когда ОС записывает данные.Если ваша файловая система HFS+ (или любая другая, кроме APFS), вы можете запустить первую помощь на системном диске из Дисковой утилиты, которая должна выполнить операцию обрезки в деталях (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
/HT210898 [Архив.org] ).
