殷德义：在中国，一些你应该学习的互联网知识

殷德义, 读者来信

九 242010

今晚费了九牛二虎之力下载了Gtalk软件到iphone上，速度快，输入便捷，很高兴。上了Gtalk就看见我多年的网友Istone在线，想到这些日子很多朋友都来信问我如何突破网络封锁的事，我的这位朋友正好算作半个专家（这几年很多次我都是请教他才得以翻墙），因此我就力邀他为大家写了这篇文章。文章中有很多种方案突破封锁，我的朋友您可以选择适合您自己的方式。明知有墙却不去想办法，实在太不应该了！

如果您有更好的解决方案，也欢迎您来信，我会在第一时间发布出来跟大家分享。最后，让我们感谢Istone先生，谢谢您的热诚与分享的精神。

已经是深夜，我躺在床上用iphone打出这些文字，有点累了，不多说了，大家阅读文章并尽量分享、转发吧！

搜索引擎安全管理系统

原始来源：http://gfwrev.blogspot.com/2010/01/blog-post.html

编辑说明：如果你已经装了360，很好，老大哥正盯着你……

看到一则不起眼的资料：

搜索引擎安全管理系统

完成人：刘欣然；方滨兴；齐向东；李伍峰；石晓虹；刘正荣；杨臻；丁丽；张鸿；陈斌

单位： 国家计算机网络与信息安全管理中心；北京三际无限网络科技有限公司；国务院新闻办公室互联网新闻研究中心

日期：2005年2月2日

简介：该系统提供了第三方的基于HTTP标准的规范高性能过滤接口，在输入和输出两个环节分三级进行有效的信息过滤；提供了统一管理平台，可以远程进行管理，经单点配置过滤策略即可实现全局同时生效，且策略下发过程可保证对过滤目标的保密要求系统可以采用分布式或集中式的部署结构。系统接入简单，易于部署，适用于绝大多数现有的搜索引擎，可以满足现有国内日查询量的处理要求。该系统已实际部署一些国内较大的搜索引擎，取得了良好的使用效果。全面推广和部署该系统，将为净化国内互联网空间提供有力保障。

一点事实：当时刘欣然、方滨兴是安管中心的研究人员和负责人，而安管中心是GFW的运维单位；李伍峰、刘正荣是中国最大网络审查机构国新办的网络部门负责人；齐向东、石晓虹是三际无限公司的高管，而该公司则是360安全卫士的开发者。

我们知道国内的搜索引擎都有关键词过滤，通常认为这是搜索引擎的自我审查。然而最近有一些案例发现在某些情况下不同搜索引擎的“自我审查”会同时失效，说明背后并不简单。以上资料说明了这样几个事实：

存在一个对国内搜索引擎进行统一关键词过滤的审查管理系统，其被称为“搜索引擎安全管理系统”；

这个系统是主要由GFW的运维单位安管中心（CNCERT/CC）开发；

这个系统主要需求和日常使用来自国新办，有密级；

国内搜索引擎的关键词过滤有一部分是由国新办直接操作的“非自我审查”；

360安全卫士的开发者三际无限公司也参与了这个系统的开发。

三际无限公司的所作所为已经不仅仅是“将用户隐私信息交给政府安全部门”；它协助CNCERT、积极参与建设对国内互联网的审查机制，为长城添砖加瓦，这已经超出作恶的范畴，可称得上助纣为虐。加之之前报道称360安全卫士将自由门等软件检测为恶意软件，这个公司的道德水准已经昭然若揭。请丝毫不要怀疑三际无限与审查部门和安全部门的良好关系，请丝毫不要惊讶安全部门会通过360安全卫士对用户进行监听。

另引用双想范文 [huanqiu.com] 一段：

为掩人耳目，中情局成立了一家高科技公司，以民间身分为幌子与谷硅高科技公司合作开发能够从互联网上获取任何内容的间谍软件。间谍软件以捆绑方式和其他软件一起当用户安装实用软件时它悄悄地进行自动安装。

哼哼。

各种爬墙姿势简介

作者：harry   来源：http://diu.org.ru/2010/08/05/%e5%90%84%e7%a7%8d%e7%88%ac%e5%a2%99%e5%a7%bf%e5%8a%bf%e7%ae%80%e4%bb%8b/

在天朝，不爬墙等于没上网。我上网，就是为了爬墙，强烈的不安全感让我搜集了很多不同的爬墙方式，发出来大家分享一下。每种爬墙方式的具体步骤就不介绍了，自行搜索。

改hosts

通过设置hosts来访问被封锁的网站，在hosts里面写上网站的对应未封锁ip即可。我一直不知道这个没封锁的ip是怎么来的，一般就是搜索，但经常搜索到的就已经被封了。

现在有个网站http://just-ping.com 输入网址，即可ping出世界各地的ip，然后试出一个未墙的ip。

各个平台都适用

SSH加密代理

代理分加密代理和普通代理，普通代理现在已经没落了,ssh通道方式的加密代理，快速而安全,而且免费账号很多,一些国外免费空间会带SSH。

1.(ff + autoproxy 或者 chrome + switchy! )+ myetunnel + ssh

只能浏览网页,配置好以后方便快捷，虽只能浏览器使用，但已满足绝大多数需要，设置开机启动后，开机自动就在墙外了。

这里有详细设置：http://www.daili39.net/Chrome.html

各个平台都适用

2.wujie浏览,ziyoumen

境外某组织搞的爬墙工具，利用ssh通道加密爬墙。直接运行即可，简单方便有效。适合初级用户。使用时注意记得更新，要不然下次就可能翻不过去了。下载地址：v9.97 update 2010.6.30

http://FileDeck.net/zh-cn/files/10DFFC6Y/tools20100711.rar.rar

适合windows

3.P*U*F*F

有免费版也有收费版。免费版曾经有段时间不能使用，现在好像可以了，收费版迅速而稳定，价格好像有点高，一年16美刀。免费版本现在是P*U*F*F0.03.321 updated:03-21-2010。

下载地址：http://FileDeck.net/zh-cn/files/595DPNBZ/p003.321.rar.rar

还有一个类似的叫Mr Zhang 也就是张生爬墙，也分免费版和收费版。

免费版为Mr.Zhang 0.08 for Windows (update 2010.6.24)

下载地址：http://FileDeck.net/zh-cn/files/1ZIOG6ED/mrzhang.rar.rar

适合windows

4. vfochrome

http://code.google.com/p/vforchrome/

一个简单易用，便于爬墙的基于chromium的浏览器。内置了ssh，可以自动获取网络免费账号，也可以设置为自己的。

适合windows

VPN

VPN可以让所有软件爬墙，适应面广，速度快，就是设置稍显繁琐，而且免费账号极少。

1.PPTP,L2PT 配置简单，稳定性差，兼容性差。而且 pptp 联通移动均已屏蔽 。

2.openvpn IPsec 稳定，速度快，穿透能力强，难配置。我没有此类账号，也不知其设置。

如果有vps可以选择自建VPN，然后几个人合伙用，人均每个月应该在人民币10元以内吧。收费的有很多，我就不介绍了，还有卖集成了VPN的路由器的，淘宝上搜吧。

介绍几个免费的VPN：

申请VPN和SSH账号： https://cmded.net

免费Vpn： http://www.thefreevpn.com/

免费Vpn： http://www.focusvpn.com/

每周都会发板30个免费账号，速度还不错： http://ibvpn.com/blog/

各个平台都适用

ipv6

全国适用，教育网最合适，美中不足是还得改hosts。据说现在GFW在为ipv6升级,不知道以后会怎样。Ipv6还有一个问题就是路由器，一般家用的很少支持ipv6，支持的都很贵。所以ipv6实用性稍差。

六飞

http://www.6fei.com.cn/

只要安装了六飞软件，在普通的IPv4环境就可以轻松获得IPv6永久地址。

IPv6的安装，IPv6爬墙大法，IPv6下片秘技

各个平台都适用

手机爬墙

在wifi环境下可以使用很多手机自带的pptp l2tp，IPsec。

如果没有vpn，使用twitter，foursquare等软件的话还是需要使用带api版的

要么就只能使用支持代理的浏览器通过web访问这些网站了，比如opera mini，iPhone设置见这里。

其他代理：

GappProxy

http://code.google.com/p/gappproxy/

GAppProxy 只支持80和443端口（其他端口网站无法代理），只支持HEAD、GET、POST方法（GAE支持的PUT、DELETE没被支持），不能上传二进制 文件如图片（Twitter头像无法更新），不能断点续传（大文件下载一半被中断后需要重新下载），只能架在GAE上（GAE的DELETE方法不完整， 因而从Twitter的List中删除某人是用基于GAE的代理无法实现的)，HTTPS会弹出证书无效的警告，也不节约流量和API调用。

Wallproxy

http://code.google.com/p/wallproxy/

这 是基于GAppProxy，旨在解决其不足的。WallProxy因此产生。WallProxy支持更多端口，服务端有GAE版和PHP版。客户端可以同 时设置多个服务端，推荐的设置是大流量快速度的GAE作首选，随便找个可以令WallProxy运行的免费PHP空间作备选以弥补GAE的DELETE缺 陷。WallProxy还改进了上传、下载使得支持上传文件（包括二进制文件）、断点续传、更稳定、更节约流量和API调用。同时还支持生成根证书并签名 子证书，将生成的根证书ca.crt导入到浏览器根证书机构后即可不再弹出证书无效的警告；支持类PAC代理规则并可中转其他代理，为提供了代理设置但不 提供代理选择的程序提供智能代理选择功能。

Webpage-tunnel

http://code.google.com/p/webpage-tunnel/

最简单的一句话：PHP和Java版的gappproxy。

webpage-tunnel是一个HTTP代理服务程序，通过HTTP隧道来突破防火墙的限制，并提供简单的加密通讯。

运行只需要两个文件，一个客户端Java程序，一个服务端PHP脚本，浏览使用说明。

Easycross

http://code.google.com/p/easycross/

将twitalker、gtap、mirrorrr、gappproxy整合成一个appengine应用，方便个人使用，不用建立4个appengine应用，并且所有链接都改为强制加密传输，

演示地址： https://victor-king.appspot.com/

红杏

http://code.google.com/p/red-apricot/

红杏是一个跨平台的透明化爬墙工具，旨在尽可能简化爬墙时的软件配置，以便使一些没有代理配置选项的软件（尤其是手机软件）也能顺利爬墙。

红杏本身并不提供代理功能，它基于GAppProxy，所以你必须首先有一个GAppProxy的Fetch Server。可以自己在Google App Engine上搭建，也可以使用他人搭建好的。 红杏只支持HTTP（即将支持HTTPS）协议，且不支持除80（及334）外的网站端口。

Cms4g-proxy

http://code.google.com/p/cms4g-proxy/

此项目是一个利用GAE应用程序提供的UrlFetchService服务而做的代理服务数据中转。

以上这些代理大多基于Google appengine，确定就是GFW隔三岔五的会封一些地区，而且现在https基本不能访问了。有些是基于国外空间的，随便找个免费空间，上传代理文件即可，这种比较方便。有些通过Java或Python支持多平台

西厢计划

http://code.google.com/p/scholarzhang

西厢计划提供一组工具，使得用户在一次设置之后，能够以普通程序直连目标网络，而避免GFW的大部分影响。其命名是为了向中国古典文学史上爬墙的先驱者张某致敬。西厢计划现在已经达到alpha可用状态，在初步的测试中可以让用户以普通浏览器无障碍地直连Youtube。

有windows和Linux版本

Yourfreedom

https://www.your-freedom.net/index.php?id=downloads

这是一个功能强大，速度快的多平台工具。使用前先注册一个账号，使用方法自行搜索，有中文版。我是强烈推荐。

Ｗitopia vpn

WiTopia VPN是款国人自制的免费免安装HTTP代理软件，非VPN，且应与国外的WiTopia personalVPN没有关系。WiTopia VPN是款国人自制的免费免安装HTTP代理软件，非VPN，且应与国外的WiTopia personalVPN没有关系。启动程序后会自动激活代理。如附图所示，下拉菜单可选择服务器；点击”操GFW(打开vpn)”、”激活GFW(关闭vpn)”可进行打开、关闭代理的切换。使用WiTopia需对浏览器HTTP代理服务器进行设置(IE、Chrome不用，程序启动时自动配置)，HTTP代理：127.0.0.1，端口：1234。

最新版：WiTopia 1.0.1

下载地址：http://cn.ziddu.com/download/511482/witopia.exe.html

官方网址：https://twitter.com/vpnforchinese

T*o*r

这个作为爬墙祖师，多平台，封不住，唯一的缺点就是速度慢，现在还要搭建网桥，就不推荐了。

网络安全指南 一个好的密码策略

YUYAN , 2010/09/22 23:06 , 社会聚焦 » 时事论坛 , 评论(0), 阅读(16) , 来源：童言无忌 大 | 中 | 小

一个好的密码策略是，选一个你容易记住的长句子，比如诗句，选每个字拼音首字母，作为密码。

你很容易记而别人很难猜到。

用这个长密码作为主密码前缀。

对每个不同帐号，再选一个短而容易记的，和网站相关的密码后缀。

每个帐号的密码由同样的主密码前缀和不同的短密码后缀构成[1]。

这样，即便一个帐号的密码失窃[4]，窃贼也无法容易地知道你其他帐号的密码。

而你却很容易记住每个帐号的密码。

比如，

选一个长密码前缀：天然一个仙人洞无限风光在险峰 trygxrdwxfgzxf

这串字符看起来无意义，但对你有意义。;)

然后，选择

gmail 帐号密码后缀为 gm01

hotmail 帐号密码后缀为 h0m

这样，

gmail 密码为 trygxrdwxfgzxfgm01

hotmail 密码为 trygxrdwxfgzxfh0m

这样如果窃取了一个密码，是很难分清哪一部分是前缀，哪一部分是后缀的，也就很难猜测其他帐号密码。

即便窃取了两个帐号的密码，知道了共同的前缀，要猜测第三个帐号的后缀，毕竟还是需要一点时间的。

这样的密码强度[2]很高，但记忆负担却并不很大。

为了防止遗忘密码，学会用 keepass  [7]保存网络密码，这样不会因为记不住而都用同样密码而带来密码失窃导致全部帐号被窃取的危险。

特别注意，不要为了偷懒而在办公，网吧，旅店等公用计算机上保存帐号密码。在私人电脑上保存密码，也必须选择支持主密码加密的软件[3]，最好不要保存帐  号密码。因为保存的密码不一定加密保存，很容易用软件工具[5][6]破解获取。

参考：

[1] Security Simplified: The Base+Suffix Method for Memorable Strong  Passwords; Thursday, February 19th, 2009;  http://luxsci.com/blog/security-simplified-the-basesuffix-method-for-memorable-strong-passwords.html

[2]  Cracking Passwords in the Cloud: Insights on Password Policies; THURSDAY,  OCTOBER 29, 2009; http://news.electricalchemy.net/2009/10/password-cracking-in-cloud-part-5.html

[3]  Master Password Encryption in FireFox and Thunderbird; Friday, February 27th,  2009;http://luxsci.com/blog/master-password-encryption-in-firefox-and-thunderbird.html

[4]  SniffPass v1.12 – Password Monitoring Software;http://www.nirsoft.net/utils/password_sniffer.html

[5]  Mail PassView – Recover POP3/IMAP/SMTP email passwords;http://www.nirsoft.net/utils/password_sniffer.html

[6]  Dialupass – Recover VPN/RAS/Dialup passwords; http://www.nirsoft.net/utils/dialupass2.html

[7]  Five Best Password Managers; http://lifehacker.com/5042616/five-best-password-managers

[8] gmail 安全检查步骤

http://3.ly/fTFs = https://docs.google.com/View?id=d9bwjsf_14fb6wj6hb

http://3.ly/FQFR = https://www.google.com/buzz/104802289453542970648/FV7eH2WUfwX/

http://is.gd/bYh7q =  https://www.google.com/buzz/104802289453542970648/FV7eH2WUfwX/

[9] 邮件安全提示 http://3.ly/rM9S =https://www.google.com/buzz/104802289453542970648/3p9eht8utUB/

[10] virushuo: 匿名网民的安全指南 https://www.google.com/buzz/changsimeng/YCJVddVvqK2/

匿名网民的安全指南(1)  https://www.google.com/buzz/100347718699709543053/hu1cGmnAnGx/

匿名网民的安全指南(2)  https://www.google.com/buzz/100347718699709543053/1kGBjJ1Jw5c/

[11] wxzbb: 平民技术，检查你的Google账户安全！https://www.google.com/buzz/104802289453542970648/fkFF6amKXDk/

[12]  你以为电信，联通他们就不偷你的密码么？https://www.google.com/buzz/changsimeng/4NG96qtRbH5/

[13]  防范 邮件钓鱼欺诈窃取密码 https://www.google.com/buzz/changsimeng/8V51WoevTpo/

[14]  Internet 安全建议 https://www.google.com/buzz/104802289453542970648/Fk7AsXcV2Ji/

[15]  编程随想：如何防止黑客入侵

https://www.google.com/buzz/changsimeng/Wk4kHpyx6Yz/

http://blog.csdn.net/program_think/archive/2010/06/09/5657262.aspx

https://www.google.com/buzz/changsimeng/HsT1eTZ7iyg/

http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-1.html

http://blog.csdn.net/program_think/archive/2010/06/09/5657269.aspx

http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-2.html

http://blog.csdn.net/program_think/archive/2010/06/15/5673033.aspx

http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-3.html

http://blog.csdn.net/program_think/archive/2010/06/20/5682094.aspx

https://www.google.com/buzz/program.think/KP2FrN4c4RH/

https://www.google.com/buzz/program.think/66R8cijnwGM/

http://program-think.blogspot.com/2010/08/howto-prevent-hacker-attack-4.html

http://blog.csdn.net/program_think/archive/2010/08/02/5783947.aspx

[16] 编程随想：CNNIC证书的危害及各种清除方法

https://www.google.com/buzz/changsimeng/b5dVmPZSe6p/

http://program-think.blogspot.com/2010/02/remove-cnnic-cert.html

http://blog.csdn.net/program_think/archive/2010/02/16/5309699.aspx

http://program-think.blogspot.com/2010/02/about-cnnic.html

http://program-think.spaces.live.com/blog/cns!F5B0090663FEEADA!623.entry

http://program-think.blogspot.com/2010/02/introduce-digital-certificate-and-ca.html

http://blog.csdn.net/program_think/archive/2010/02/08/5300184.aspx

[17] 编程随想：如何隐藏你的踪迹，避免跨省追捕

https://www.google.com/buzz/changsimeng/Az9MioJQvsQ/

http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html

http://program-think.spaces.live.com/blog/cns!F5B0090663FEEADA!674.entry

http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-1.html

http://program-think.spaces.live.com/blog/cns!F5B0090663FEEADA!675.entry

http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-2.html

http://program-think.spaces.live.com/blog/cns!F5B0090663FEEADA!678.entry

http://program-think.blogspot.com/2010/05/howto-cover-your-tracks-3.html

http://program-think.spaces.live.com/blog/cns!F5B0090663FEEADA!689.entry

[18] 编程随想：信息安全之社会工程学;https://www.google.com/buzz/104802289453542970648/N88CucN5YsT/

http://program-think.blogspot.com/2009/05/social-engineering-0-overview.html

http://blog.csdn.net/program_think/archive/2009/05/05/4152922.aspx

http://program-think.blogspot.com/2009/05/social-engineering-1-gather-information.html

http://blog.csdn.net/program_think/archive/2009/05/06/4156187.aspx

http://program-think.blogspot.com/2009/05/social-engineering-2-pretend.html

http://blog.csdn.net/program_think/archive/2009/05/09/4164242.aspx

http://program-think.blogspot.com/2009/05/social-engineering-3-influence.html

http://blog.csdn.net/program_think/archive/2009/05/19/4202545.aspx

http://program-think.blogspot.com/2009/06/social-engineering-4-example.html

http://blog.csdn.net/program_think/archive/2009/06/07/4250266.aspx

http://program-think.blogspot.com/2009/07/social-engineering-5-defend.html

http://blog.csdn.net/program_think/archive/2009/07/08/4329731.aspx

如何隐藏你的踪迹，避免跨省追捕

YUYAN , 2010/09/19 20:05 , 社会聚焦 » 杂项 , 评论(0), 阅读(109) , 来源：编程随想的博客 大 | 中 | 小

★引子

在早年的安全圈内，也曾有一篇名叫“如何隐藏你的踪迹”的帖子（洋文原名叫“How to cover your tracks”，具体看“这 里”）。那可是国外老牌黑客组织（The Hacker’s  Choice）在上世纪写的。不过那篇帖子有很大篇幅是在教你如何在入侵系统之后，不留下痕迹。而今天俺要聊的内容，基本和入侵无关。

本系列的主题是：

如何从各个层面，防止真实身份的暴露？

本文面向的受众是：

那些通过互联网进行各种活动的网友——异议人士、民运人士、维权人士、……

不过捏，凡事都有两面性。那些通过网络干坏事的家伙，或许也能从本文获得启发

★为啥要写此文？

从最近2年的趋势来看，互联网越来越成为揭露社会阴暗面、批评党的一个利器。因此，党国为了维护统治阶级的利益，也会想方设法扼杀对党不利的言论（具体如 何扼杀，可以参见“党 和互联网的较量”）。在党国采取的各种措施中，就包括“跨省追捕”这一招。（”跨省追捕”一词来源于09年轰动一时的“王 帅发帖事件”）

俺发觉很多网友非常缺乏这方面的技术常识，这可真是大大便宜了党国的爪牙。另外，近来也有好些个读者来信询问这方面的知识。看来这个扫盲帖还是很有必要 滴。所以，今天就开始抽空写一个系列。

★免责声明

为了免遭别人拍砖，省却不必要的麻烦，在介绍正式内容前，先来个免责声明：

免责声明一：本文仅介绍各种保护隐私的技术手段及注意事项。发表本文并不意味着俺鼓励大伙儿去干坏事。

免责声明二：本文介绍的招数，可以大大降低暴露的可能性，但是并不能确保百分百不暴露。（要知道，绝对的安全是不存在滴）如果你用了这些招数，还是暴露 了，那可别怨俺

俺在前面的帖子介绍了和网络有关的招数。接下来，再来说说和个人软件有关的防范知识。

★为啥要防范个人软件？

去年那个臭名昭著的“绿 垻 事 件”，大伙儿应该记忆犹新吧？据说这玩意儿可以把你上过哪些网站、甚至通过键盘打了哪些字都记录下来，然后发送到“绿   垻”公司的服务器上。如果你的电脑上装了它，基本上你的一举一动，都在党国的监视之下（这就是所谓的“老大哥在看着你”）。这时候，你即便再搞什么隐藏 IP、加密代理，也是白搭。

所以捏，你必须彻底杜绝这种带有后门性质、木马性质，且受控于党国的软件。那么除了“绿  垻”，还有哪些软件可能会暴露你的隐私和行踪捏？俺粗略整理了几种类型，介绍如下。

★即时聊天（IM）软件

说到聊天工具，自然就会提及QQ——毕竟它占据了国内IM市场的大头。所以俺就具体说一下，党国是如何利用腾讯公司来监控/打压不和谐的声音。

◇监控聊天内容

首先，党国会利用QQ监控你的聊天内容（不论是1对1聊天还是群聊）。比如，党国60大寿前后，很多QQ群被封——因为群里面的讨论的内容涉及了某些敏感 词。另外，还可以到网上搜一下标题为“腾讯QQ如何监视你的聊天记录”的帖子，看看别人的遭遇。另外还有很多揭露QQ的文章（请翻墙看“这 里”、“这 里”）。

◇利用聊天历史记录取证/抓人

有些维权人士、异议人士、民运人士明显缺乏对党的斗争经验，居然敢用QQ相互联络。结果是：不光自己暴露了，还牵连了别人。这样的例子太多了，俺就拿前几 天（4月20日）刚宣判的“严晓玲、范燕琼案件”来说一下。

话说福建的年轻女子严晓玲神秘而离奇死亡。有些网友看不下去，在网上为她喊冤。结果捏，统统被福州警方捉拿归案——罪名都是“涉嫌诬告”，其中三人被判有 期徒刑。在办案过程中，咱们的公检法部门，充分利用QQ进行顺藤摸瓜，以迅雷不及掩耳盗铃之势，把这些维权者一网打尽。请看被捕网友郭宝峰的原话：

各位，够胆就继续用QQ吧，监狱等着你们去闯。警方当时不但通过QQ把我们几个一网打尽，而且一个警察曾经拿着厚厚的一叠我和游兄的聊天记录让我签字，我 完全没有想到我和他说过如此多的话而且多数记录和本案没有直接关系。我拒绝签字，那位警察就说：“你不签也没关系，我们有证据。”

这下知道QQ的利害了吧？

◇利用QQ搜罗电脑中的文件

今年1月份，坊间又有新的传言，说QQ还会扫描你硬盘上的某些文件（具体请看：“这里”、“这 里（墙外）”、“这 里”）。如此一来，QQ的危险性又增加了一层。不排除今后有关部门利用QQ庞大的装机量，收集QQ用户电脑中的敏感文件。这虽然有点耸人听闻，但 俺一向不惮以最坏的恶意来揣测咱们伟大的党。

顺便说一下，有2个QQ的替代品：其一是：腾讯提供的Web版的QQ工具（在“这里”）；其二是：开源的Pidgin（支 持QQ协议）。用这2个替代品，可以避免QQ客户端软件扫描你的硬盘文件，但还是无法避免你的聊天内容被监控。

◇还有哪些IM可能被监控？

既然党国的有关部门会利用QQ进行监控，它自然也不会放过其它几款国内的聊天工具——毕竟它们的老窝还在天朝之内，有关部门要它干啥，都得乖乖听话。因 此，如下的几款IM，都有可能处于党国有关部门的严密监视之下。

移动的飞信

淘宝的旺旺（后改名阿里旺旺）

新浪的UC（前身是朗玛UC）

网易的泡泡

百度的HI

另外，Skype虽然是国外进口软件，但它的Tom版，后门可是大大滴哦！所以，如果你平常使用Skype，一定要用国际版（在“这 里”），千万别用Tom版！另外再啰嗦一下，不要开启Skype的自动升级功能。

◇比较可靠的IM

那如何选择可靠的聊天工具捏？俺建议使用如下几款：

GTalk—— Google推出，相关介绍在“这 里”

Skype—— 务必要用国际版，相关介绍在“这里”

Pidgin——开源的 IM客户端，支持N多种IM通讯协议（包括QQ），相关介绍在“这里”。

★杀毒软件

不光国内的IM工具不保险，国产的杀毒软件也要多加小心。

◇国产杀毒软件的危险

在2010年初，瑞星和奇虎360给大伙儿上演了一出狗咬狗的闹剧（瑞星咬奇虎的在“这里”， 奇虎咬瑞星的在“这 里”）。大伙儿在看热闹之余，也应察觉出某些杀毒软件厂商的险恶用心——在杀毒软件中暗藏后门。到底有多少国产杀毒软件暗藏后门，俺不敢随便乱 说。但是既然360开了个头，不排除有其它厂商会效仿；另外，也不排除某些后门，就是党国的有关部门要求增加的。

咱不妨设想这样一个场景：

你用了某款国产杀毒软件，而该软件恰好又安放了受党国控制的后门。那么，它就可以名正言顺地对你硬盘中的每一个文件进行扫描；然后，在扫描的过程中，顺便 收集一下你电脑中的敏感文件；再然后，利用在线升级的机会，顺便把收集到的信息传回厂商的服务器上；最后，党国的有关部门发觉了你的异动，到你家来敲门。

◇应对措施

要规避上述风险，也挺简单——就是尽量不用国产滴杀毒软件，改用国外滴。 目前党国滴触角还不够长，还没有伸到国外杀毒厂商那里。

★浏览器

再来说说上网必用的工具——浏览器。

◇浏览器的选型

最近这些年，搞Web浏览器似乎成为时尚潮流，稍有实力的公司都去跟风。因此，Apple推出了Safari、Google推出了Chrome、腾讯搞了 个TT浏览器、奇虎搞了个360安全浏览器……真是好不热闹。

面对这么多花哨的浏览器，大伙可得留神。像腾讯、奇虎这些国内公司推出的浏览器，同样有可能暴露你的行踪。还是用国外大公司的（如IE、Chrome）或 者开源的（如Firefox）比较靠谱。具体的道理和杀毒软件类似，俺就不再多啰嗦了。

◇记得清除上网的痕迹

某些浏览器（比如Firefox 3.5、IE  8）支持“隐私浏览模式”。如果你通过浏览器进行某些敏感的操作，建议在隐私浏览模式下进行。这样，当你干完事情后，只要关闭了浏览器，那些浏览历史以及  cookie信息就不会保存下来。避免将来被党国拿去，成为你的罪证。

万一你用的浏览器比较土，没有这种模式，咋办捏？那你就得保持一个好记性，每次干完事情后，清除一下上网的缓存、浏览历史、cookie等痕迹。

◇小心浏览器的CA证书

浏览器的CA证书，一直是被忽视的薄弱环节。直到2010年初，CNNIC通过招摇撞骗，成为根证书颁发机构，这个薄弱环节才引起少数网友的重视。如果你 对CA证书缺乏了解，请先翻墙看看“数 字证书扫盲帖”，然后再看看“CNNIC 证书的危害及清除方法”。看完之后，应该就明白CNNIC证书的危害性了。

★输入法

得益于热心网友在评论中的提醒，俺再追加“输入法”这一节。

◇输入法的危险性

其实，早期传统的输入法都是单机软件，是没有太大的隐私风险。

但是随着这几年网络的发展，Web  2.0的普及，连输入法软件也开始上网了（还冠之以“云输入法”，可见IT业多么喜欢炒概念:）。很多新推出的输入法，可以把用户个性化的词库同步到输入 法厂商的服务器上。这样，无论你使用哪台电脑，只要该电脑可以联网，你就可以体验到自己的个性化词库。

但是，这样也就带来了一个潜在的隐私问题。因为输入法软件非常了解你经常输入哪些词组，而且把你经常输入的词组保存到你的个性化词库，然后再把词库同步到 服务器上。如果你用的输入法是国产软件，那么，党国一样可以逼迫输入法的软件厂商把每一个用户的个性化词库公开给有关部门。然后有关部门就可以通过你的个 性化词库，知道你平时经常输入哪些东东。

◇如何防范？

如果你觉得输入法在线同步词库的功能很爽，让你很High，让你不可抗拒，俺还是奉劝那句老话：别用国产滴，用进口滴。

如果你觉得在线同步只是个花哨的功能，无所谓，俺建议你还是用单机模式的输入法比较保险。这时候无论国产/进口，差别应该不大。

★个人软件使用总结

前面哇啦哇啦说了许多，大伙儿应该看出点门道了吧？——但凡国产的、带有网络功能的应用程序，只要用的人多了，都可能被有关部门盯上。所以，不要怨俺崇洋 媚外，实在是党国的爪牙无孔不入啊！

可能会有人质疑说：老美的软件，也可能植入了美帝的安全局的后门啊！

但是俺想反驳说：即便国外的那些软件，都带有美国国安局的后门，俺也不怕。毕竟他们不会对俺实施跨国追捕

关于个人软件的话题就聊到这儿，下一个帖子，俺来介绍一下“操作系统的防范”。

如何隐藏你的踪迹，避免跨省追捕[3]：操作系统的防范

上一个帖子，咱们聊了如何避免个人软件泄露你的行踪，今天的主题是操作系统相关的防范。而操作系统相关的防范，归根结底，就是保护你操作系统中的各种数据 不被泄露。

★先来个八卦

考虑到本帖有点长，先拿一个八卦旧闻来给各位同学提提神，顺便也让大伙儿了解了解保密性是何等滴重要。

想必列位看官都还记得，当年陈冠希同学的艳照门丑闻吧？（就算你不记得艳照门丑闻，总该还记得那些艳照吧:）陈同学之所以身败名裂，就是因为太不注重敏感 数据的保密性了。首先，他没有把重要的数据（也就是那些艳照）加密存放；其次，在电脑拿去送修的时候，也没有进行相关的处理（至少也应该先把硬盘留下 来）。最后的结果就是——搞臭了一堆女明星，便宜了广大男网民。

★电脑中的数据，如何让你暴露？

从上述例子，列位看官应该体会到保密性的重要了吧？回到咱今天的话题，“数据的保密性”和“隐藏踪迹”有啥关系捏？且听俺细细道来。

◇电脑中的虚拟身份

当你用你的虚拟身份上网时，不可避免的，会有一些相关的信息保存在电脑上。比如：

很多用户为了省事，会让浏览器记住自己登录的网站的用户名/密码；

有些Web网站，会把你的登录名保存到cookie中；

你可能会把MSN Messenger或Skype设置成自动登录；

…..

凡此种种，都可能在你的电脑中，留下和你的虚拟身份相关的信息。

◇电脑中的真实身份

另外，你除了用虚拟身份上网，还可能会用电脑干一些个人的事情，甚至用真实身份登录一些Web网站。因此，有些和你真实身份相关的数据，也会留在电脑中。 比如：

邮件客户端（Outlook、Foxmail、等）的通讯簿；

你保存的一些个人的照片；

你使用的网银信息（如果你用它上网银）；

你公司的一些文件（如果这是你的工作用机）；

有些Web网站，会把你的登录名保存到cookie中；

你的手机号（如果你在某些IM工具中绑定了手机号）

…..

◇两种身份的关联

假设你是一名地下工作者，隐藏得很好，正在和党作斗争。结果有一天，由于某种原因，你电脑上的数据，落入他人之手。那么，拿到数据的人，可能会发现——网 上的“某XX”原来就是现实生活中的“某叉叉”。这时候，你的踪迹也就彻底暴露鸟

★数据泄露的几种途径

那么，在什么情况下，别人会拿到你电脑中的数据捏？俺总结了一下，有如下几点：

◇电脑被入侵

首要的风险，就是你的电脑被人入侵，并且很不幸地被植入了木马。那么，在这种情况下，木马可能会盗取你电脑中的很多数据。（如果你在信息安全方面一窍不 通，不知何为“木马”，请看“这 里”或“这里” 的介绍）

千万不要以为中木马是小事。一个普通网友中招，可能确实是小事，因为让你中招的可能是一个普通黑客。但如果你是一个小有名气的维权人士、异议人士、民运人 士，那党国的走狗很可能会想尽办法让你中招（植入木马），然后利用你电脑中的木马监视你的一举一动。

◇电脑被没收

有时候，当党国的爪牙开始怀疑你的身份，它们可能会突然没收你的电脑，拿回去分析。根据你电脑中的数据，了解你在网上的虚拟角色。

如果你本身已经是一个公开身份的知名人士，那电脑被没收的概率就更大了。之前已经有多位知名的维权人士、异议人士，个人电脑被党国的走狗强行搜走。然后， 走狗们可以分析你电脑中的信息，从而了解你与哪些人过从甚密、干过哪些对党不利的事情。

◇电脑公用

假设你的电脑不是你一个人专用，而是与别人合用，那也得小心。比如你把电脑借给别人，或者你使用公共场所（网吧、学校机房）里面的电脑。在一台多人共用的 电脑上，你的个人隐私很容易暴露。

◇电脑遗失

这年头，台式机越来越少，笔记本电脑越来越普及。而且，电脑的小型化大有愈演愈烈的趋势——比如上网本、平板电脑、掌上电脑（PDA）、等等。电脑小了， 便于携带，但同时也增加了丢失的概率。

一旦你的电脑丢失，捡到的人又不愿意做活雷锋，那你的数据也就被别人拿到了。

★如何防范？

经过前面漫长的铺垫，终于要说到本文的重点部分了

◇防止电脑被入侵

要说黑客入侵的防范，那内容可是相当的杂，三言两语是肯定讲不清楚滴。为了避免本贴过长，俺另外开个一个“如 何防止黑客入侵”的系列，普及一下黑客入侵及木马的防范。

除了操作系统被入侵，另外的其它几种情况（电脑被没收、电脑丢失、电脑公用）导致的风险，都可以用后续几个招数来化解。俺再多啰嗦一下，一旦你的操作系 统，被入侵并被植入木马（尤其是很厉害的木马），后续的这些招数是帮不了你的。这时候，你最保险的做法，就是重装系统并重装里面的各种软件。

◇数据加密

首先，你要把一些重要的、敏感的数据，加密保存。具体的加密方式，可以考虑如下几种。

1、加密文件系统（EFS）

加密文件系统是比较方便的一种方法。你可以针对文件系统中的某几个文件或某几个目录，设置为加密存储。平常使用的时候，你完全感觉不到（用IT的行话，就 是对使用者透明）。但如果别人拿走了你的硬盘，是无法读取出EFS里面被加密的文件滴；甚至同一个操作系统的其它用户，也是无法读取出被加密文件的内容。

EFS有赖于特定文件系统的支持。如果你使用Windows系统（Win9x不算，至少要Win2000），你必须得用NTFS格式的分区才行（不能用 FAT16、FAT32）；如果你使用Linux，使用默认的ext3或ext4即可。关于EFS的更多介绍，请看“这 里”。

考虑到Windows系统，用的人多，再多说两句。

Windows传统的EFS，有若干缺点。其一、如果包含有EFS文件的系统重装了，你就再也无法打开这些EFS文件了；其二、不便于在移动设备（如  USB  Key、移动硬盘）用EFS；其三，如果要解决前两个缺点，需要导出/导入相关的密钥，但是步骤较繁锁。想必微软也意识到这些缺点，从Vista开始（包 括其后的Windows 7），推出了BitLocker功能，可以解决上述缺点。详细的功能介绍，可以看“这 里”。

2、PGP disk

除了EFS，还可以使用专门的加密软件来达到加密数据的效果。目前的文件加密软件五花八门，但俺还是觉得鼎鼎大名的PGP（Pretty Good  Privacy），比较靠谱。它实际上是一系列软件的合集，包括了加解密、数字签名等功能。PGPDisk是其中针对文件加密存储的一个软件。它可以在你 的系统中，创建一个虚拟分区。每一个虚拟分区对应到一个扩展名为pgd的文件。需要用PGP  key（私钥）才可以访问该虚拟分区。另外，PGP的私钥还有一个额外的口令保护。也就是说，你需要有私钥文件，且知道私钥的口令，才有可能访问该加密的 虚拟分区。

如果2台机器都装了PGPDisk，你就可以在2台电脑中共享这个虚拟分区的文件（比如把对应pgd文件放到U盘来共享）。即使你的U盘和私钥一起丢失 了，别人由于不知道私钥的保护口令，还是无法打开这个虚拟分区。

关于PGPDisk的深入介绍，大伙请看“这里” 的介绍（尤其是里面关于“PGPdisk”的部分），俺就不多费口水了。相关的软件，可以到“这里”下载（里 面商业版本和免费版本都有）。

3、硬盘口令

有些笔记本电脑，提供硬盘口令的功能。一旦设置了硬盘口令，在开机时，必须输入该口令，才可以使用。注意，硬盘口令和BIOS里的开机口令是两码事，别搞 混了。一旦设置了硬盘口令，即使把该硬盘取来下，挂载到另外的电脑，也还是无法读取该硬盘的数据。

有必要提醒一下诸位：不同的电脑厂商，其硬盘口令的实现机制不同，因此其强度（抗破解能力）也就不同。所以，俺建议把硬盘口令作为一种辅助手段，而不要当 作唯一手段。

◇学会彻底删除数据

除了要懂得加密技术，还得懂得销毁技术。

很多傻瓜用户以为，只要把文件搞到回收站，就万事大吉了；还有一些不那么傻瓜的用户，以为把回收站清空，就没事了。这些都是很幼稚的想法。如果你只是普通 地删除一个文件（比如用Windows资源管理器的删除功能、或命令行的删除命令），那么该文件的内容，还是继续保留在硬盘上。别人用专门的反删除工具， 还是有可能恢复出来滴。

那么如何才能彻底删除文件捏？

1、用专门的工具删除

目前已经有很多专门的软件，可以帮你彻底删除一个文件。比如前文提到的PGP软件，就自带了文件彻底删除功能。这类软件，在删除文件之前，会用某些特别的 方式，对文件的内容进行覆盖，然后再删除文件。这样就可以避免文件内容被恢复出来。

2、用彻底格式化

很多时候，当你想把某个分区的所有数据都干掉，你可能会选择格式化分区。在格式化分区时，有一个细节要注意——千万别用快速格式化。因为快速格式化并不会 把整个分区的所有扇区都进行重写，同样存在数据被恢复的风险。

◇尽量不用移动设备

俺不推荐用移动设备（尤其是智能手机、PDA之类）进行某些敏感操作。主要的原因有两个：

1、前面已经提及了：这类手持设备，很容易丢失；

2、这类设备的操作系统，功能往往不够全，不够强。因此，你不便于使用某些加密软件。另外，很多智能手机/PDA连用户登录口令都没有。实在不利于保密 性。

◇尽量专机专用

如果经济条件许可，最好是专机专用——专门用一台电脑来操作你敏感的虚拟身份。在这台电脑上，不要有任何能关联到你真实身份的东西。俺重点强调如下几种有 风险的情况：

1、不要用在任何网站（尤其是交友网站）、任何软件（尤其是IM软件）中输入你的真实姓名、手机号、身份证号

2、不要存储涉及个人信息的文件（比如个人照片、通讯簿）

3、不要存储任何与你的工作有关的文件

★总结

费了好大劲，终于说清楚数据防泄露的几个要领。由于篇幅所限，没来得及聊“防黑客”的话题。俺希望在下一个帖子补上。

Istone 分享：GFW攻防（技巧及軟件皆實時更新，訪問需翻牆）

軟件：IP雷達（用於監查本機出入流量的來源 含進程名稱、域名、地理位置、網絡屬性、流量大小）

個人建議：

1、 盡可能拋棄國內軟件，代之以國際軟件；

2、 拋棄對象：360相關軟件、QQ相關軟件、SkypeTOM版、迅雷、國內電驢、搜狗

3、 推薦軟件：Avast殺毒、COMODO防火牆、Gtalk、Skype國際版、Orbit下載、國際電驢、GOOGLE拼音

4、 清除CNNIC 证书