1.1.2 macOS

冒着听起来很虚伪的风险，我更喜欢现代macOS机器用于OSINT而不是Windows和Linux。在我的《极端隐私》一书的读者和我的相关播客的听众责骂我之前，请考虑我的理由。我一直有三台电脑，这是我日常办公的一部分。我的个人机器是一台Linux笔记本电脑。它只用于个人活动，从未被用作任何调查的一部分。我的OSINT机器是一台带有Ml苹果硅芯片的MacBook Pro。它的速度非常快，执行虚拟机的速度比我的Linux主机要好。它在默认情况下也是相当安全的。我从不碰主机操作系统，在各种虚拟机中进行所有调查。我依靠一个名为UTM的免费和开源的虚拟机应用程序，我发现它比下一章中解释的Linux和Windows选项要好。我的第三台电脑专门用于breach data工作，如第三节所述。让我们来处理macOS。

1.1.2.1 完整的系统擦除

与Windows类似，对任何有价值的数据进行备份。常见的位置包括当前用户的主文件夹中的桌面、下载和文档文件夹。在你的苹果设备内，应用所有的更新，并疯狂地升级到最新的操作系统（目前是Ventura）。一旦完成，进行以下工作（基于M1）。

• 打开 "系统设置"，在搜索框中输入 "重置"。
• 选择 "转移或重置 "并点击 "清除所有内容和设置"。
• 输入密码，点击继续，确认擦除选项，并允许设备重新启动。
• 连接到右上方的Wi-Fi（如果 "激活锁 "需要）。
• 允许激活完成（如果需要，输入账户密码）。
• 激活完成后点击 "重新启动"，然后点击 "开始"。
• 选择所需的语言和地区，然后在 "可访问性 "屏幕上点击 "现在不行"。
• 在不选择Wi-Fi网络的情况下点击 "继续"，并确认你的选择。
• 在 "数据和隐私 "屏幕上点击 "继续"，在 "迁移助手 "上点击 "不是现在"。
• 点击 "同意 "条款和条件并确认 "同意"。
• 提供一个通用的计算机名称和安全密码。
• 点击 "继续"，然后点击 "继续而不启用位置服务"。
• 点击 "不使用 "确认选择，然后选择你想要的时区。
• 禁用所有分析选项并点击 "继续"，然后点击Screentime的 "稍后设置"。
• 取消勾选 "启用询问Siri"，点击 "继续"，然后点击 "稍后设置Touch ID"。
• 点击 "继续"，然后选择你想要的外观。

你现在应该有一台干净的电脑。接下来，我们需要对主机进行保护。有一种不真实的想法，认为Mac和Linux电脑不会感染病毒。虽然Mac和Linux的病毒感染比在Windows上要少得多，但还是会发生。让我们安装Rosetta（Rosetta是苹果公司为macOS开发的动态二进制翻译器，是不同指令集架构之间的应用程序兼容层。它通过自动翻译软件来实现向更新硬件的过渡。），然后是几个安全应用程序。

Rosetta

如果你打算使用你的M1、M2或较新的苹果电脑来复制后面章节中的教程，我强烈建议你确保在你的系统上安装Rosetta。这个软件由苹果公司提供，有助于不支持基于ARM的设备的应用程序在新的macOS系统上顺利运行。你很可能已经安装了它，但你可以用以下命令确认。

• softwareupdate--install-rosetta--agree-to-license

1.1.2.2 反病毒和反恶意软件

Mac用户没有任何内置的防病毒保护，而且大多数人不需要任何保护。Mac电脑的软件架构更加安全，病毒很少（但仍有发生）。我不推荐免费的商业产品，如Avast、卡巴斯基和其他产品。他们往往是烦人的，而不是对使用者有帮助的，而且他们的商业行为可能是有问题的。然而，我确实认为，完全没有任何保护措施是不负责任的。在一次联邦审判的作证过程中，我曾被要求披露我的调查电脑中存在的任何安全软件。我很高兴我的回答不是 "没有"。这很可能会引入指责受感染的工作空间的辩护。我很自豪地公开了我的开源解决方案。当我在Mac电脑上进行调查时，我总是拥有三个可以随时执行的软件，其中任何一个都可以在操作系统的后台全时运行。然而，我们必须首先安装Homebrew。当需要安装通常已经存在于Linux电脑上的MacOS软件时，Homebrew（通常称为Brew）是一个非常有益的程序。它也正好有我将要讨论的应用程序的预配置版本。安装Brew的最简单方法是访问网站brew.sh，然后将以下命令复制并粘贴到终端程序中("Applications" > "Utilities" > "Terminal").

• /bin/bash-c"$(curl -fsSLhttps://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

请务必遵循安装结束时提出的指示。我们现在可以使用Brew来安装下列主机应用程序。 Task Explorer(https://objective-see.org/products/taskexplorer.html): 这个免费的Mac专用应用程序简单而有效。它识别所有正在运行的进程，并通过一个名为Virus Total的服务查询它们。如果它发现一个可疑的文件，它会在右下角用一个红旗提醒你。点击该标志，你就可以看到有关潜在威胁的更多细节。我每周在我使用的任何Mac机器上执行这个程序。如果你在主机上感染了病毒，这个程序应该能迅速识别。然而，它并不能清除任何感染。为此，你将需要研究任何可疑的文件。用以下终端命令安装这个应用程序。

• brew install--cask taskexplorer

KnockKnock(https://objective-see.org/products/knockknock.html):与前一个选项类似，由同一家公司维护，这个程序对你的Mac设备进行扫描。然而，它正在寻找那些被设定为在启动时启动的持久性程序。由于大多数病毒在你的电脑启动的那一刻就会注入自己，这个程序可能会识别出前一个程序所遗漏的威胁，如果它们当时没有运行。打开这个应用程序后，点击扫描按钮并允许该过程完成，你将收到关于任何可疑文件的通知。我每周都会和任务管理器一起执行这个任务。请注意，它也只是通知你有问题，而不是删除它们。用下面的终端命令安装这个应用程序。

• brew install--cask knockknock

ClamAV(clamav.net): ClamAV（不要与ClamXAV 不必要的付费选项混淆）是一个社区驱动的开源防病毒数据库，任何人都可以免费使用。它在通常是付费广告的“Top 10 Antivirus”网站上的得分通常不会很高。但是，它是完全免费的；不会在您的系统上不停地运行；仅在您需要时执行；并且可以很容易地完全移除。不幸的是，没有简单的软件安装过程，也没有点击式应用​​程序。您将需要通过终端命令手动更新数据库，然后扫描您的系统。默认情况下，ClamAV不会删除任何病毒，它只会披露可疑文件的存在和位置。在我的使用过程中，ClamAV从未发现影响MacOS电脑的病毒。相反，它发现了许多针对Windows机器的恶意文件，但却出现在我的系统中（大多是作为电子邮件附件）。

这个通知使我能够手动删除这些文件，这可以防止我的Windows虚拟机将来被感染。如果你对拥有一台没有杀毒软件的 "裸体 "苹果电脑有顾虑，下面的说明将配置macOS以获得更好的保护。如果你对拥有一台没有杀毒软件的 "裸体 "苹果电脑有顾虑，下面的说明将配置macOS以获得更好的保护。在先前使用的同一个终端程序中输入以下命令，每行后按 "回车 "键。

• brew analytics off
• brew install clamav
• sudo mkdir/usr/local/sbin
• sudo chown-R'whoami':admin/usr/local/sbin
• brew link clamav
• cd/opt/homebrew/etc/clamav/
• cp freshclam.conf.sample freshclam.conf
• sed-ie's/^Example/#Example/g'freshclam.conf

这些步骤将安装ClamAV；切换到安装目录；复制一份配置文件；然后修改配置文件以使ClamAV发挥作用。现在你已经准备好更新你的防病毒数据库并进行扫描了。在终端中键入以下命令，在每一行后敲击键盘上的回车键。

• freshclam-v
• clamscan-r-i/

第一个选项将下载所有的病毒定义更新，并应在每次扫描前执行。第二个选项对整个计算机进行扫描，并且只提示您发现的病毒的细节。虽然它可能看起来处于休眠状态，但它正在工作，并将在完成后通知您。所有这些命令都必须是准确的。

ClamAV可能偶尔会出现病毒的假阳性报告。请不要惊慌。在互联网上研究该文件，并找出问题所在。如果你在电子邮件中收到恶意文件的报告，只需删除这些邮件。请注意，上述扫描只是搜索病毒，并不清除威胁。如果你想进行扫描并自动删除可疑的文件，你必须执行不同的命令。请注意，这可能是危险的，并可能永久地删除必要的文件。我总是运行扫描，研究发现的威胁，并且只有在我确信应该删除这些文件时才执行以下扫描。

• clamscan-i-r--remove=yes/

我承认，我并不经常执行ClamAV。全面扫描可能需要几个小时，而且不太可能找到前两个应用程序没有发现的威胁。然而，Task Explorer和KnockKnock并不能防止针对Windows环境的恶意应用程序。ClamAV可能会发现恶意文件，即使它们对你的Mac电脑没有直接威胁。如果你进行政府调查，特别是那些可能导致起诉的调查，我相信你有义务拥有并执行某种类型的传统防病毒软件。ClamAV是一个安全和可靠的选择。如果我还在调查联邦犯罪，我会每周对我的Mac电脑进行一次全面扫描。

1.1.2.3 遥测

苹果电脑收集和发送的遥测数据与Windows机器一样多，甚至更多。苹果坚持认为这是为了你的利益，并帮助创造一个有趣和高效的电脑体验。目前还没有类似于O\&O Shut Up的macOS应用程序。如果你想阻止苹果公司收集关于你使用情况的任何细节，你将需要安装一个软件防火墙应用程序。我使用一个名为Little Snitch的付费程序，但一个名为LuLu的免费选项可能也能满足你的需要。首先，你应该质疑你是否在OSINT机器上需要这种类型的保护。正如我之前所说，我从不在macOS系统内进行任何调查。我只依靠虚拟机，我在这些机器中的活动不会被苹果看到。在这种情况下，防火墙可能是多余的，但我还是使用了一个。我有两篇长的博文，解释了我使用Little Snitch来保护我的苹果机器。我不想在这里重现这些文章，我将给你留下每篇文章的链接，供你自己参考。你也可以简单地在我的博客上搜索 "telemetry"，很容易就能找到这些帖子。

• https://inteltechniques.com/blog/2021/08/03/minimizing-macos-telemetry/
• https://inteltechniques.com/blog/2021/08/18/macos-telemetry-update/

总的来说，如果你在macOS操作系统内进行OSINT调查，我绝对相信你应该通过防火墙应用程序启用强大的遥测保护。如果你不在操作系统内进行调查，而只依靠下一章所解释的虚拟机，那么我认为它就没有那么重要。

1.1.2.4 系统清理

BleachBit在技术上支持macOS，但该应用程序没有得到维护，也没有适当的功能。这使得我们没有一个可靠的Mac电脑的系统清洁器。幸运的是，Privacy.sexy（privacy.sexy）有一个解决方案。该网站帮助创建一个自定义脚本，该脚本将根据你所期望的行动来清理你的系统。点击 "macOS "选项，然后浏览隐私和安全类别，选择你想应用于系统的选项。右边的区域将弹出清理所选区域的命令。完成后，点击底部的 "下载"按钮，最后的脚本将被生成。按照指示，在需要的时候执行你的脚本。这个脚本复制了BleachBit等系统清洁器中的选项，但没有应用程序的开销和潜在的不良活动。我每周都会执行我生成的脚本。在这里要小心。有些选择可能是相当积极的。研究任何你不了解的东西，并从最小的修改开始。由于这些选项经常变化，我不能把它们放在这里，也不能指望它们能长期存在。

1.1.2.5 VPN

与Windows部分类似，你应该在你的macOS OSINT主机内拥有一个VPN应用程序。如前所述，我依靠Proton VPN为我的家庭防火墙提供保护，因此也为我网络上的所有设备提供保护。当我不在家的时候，我依靠我的macOS主机中的Proton VPN应用程序。当我被阻止访问一个网站时，我根据需要连接我的PIA专用IP VPN，当不再需要时再返回到Proton的保护。如果你跳过了前面的Windows部分，请回到它，并访问VPN部分。

• https://inteltechniques.com/vpn.html

1.1.2.6 密码管理

同样与Windows主机类似，我推荐并在macOS机器上使用KeePassXC。如果你跳过了前面的Windows部分，请回到它，并访问密码管理器部分。KeePassXC在所有操作系统上的功能都一样，密码数据库可以在所有平台上共享。希望所有的苹果用户现在都拥有一台准备用于OSINT调查的机器。图1.01显示了KnockKnock扫描后的预期结果。