216 评论

如何隐藏你的踪迹,避免跨省追捕[6]:用虚拟机隐匿公网 IP(原理介绍)

  在多位读者的强烈要求下,本文终于隆重推出了 :) 今天俺来介绍一下:如何利用操作系统虚拟机(以下简称“虚拟机”)来隐匿自己的公网IP。


★准备工作


  为了给本文打基础,俺在最近两个月特地写了一个《扫盲操作系统虚拟机》的系列博文(链接在“这里”)。如果你不是 IT 技术人员,或者你对虚拟机了解不多,强烈建议你先把这个虚拟机扫盲系列看完,然后再来看本文。
  在本系列第一篇《网络方面的防范》,俺专门解释了:“什么是公网 IP”,也特别强调了“公网 IP 暴露”的危险性。如果你比较健忘的话,先去把那篇再复习一下。


★无代理的情形


  如果你上网不使用代理,那么你访问的网站就会看到你的公网 IP。示意图如下:
不见图 请翻墙


★普通代理的情形


  此处说的代理是广义的,包括普通代理、VPN、多重代理、等。如果用了代理,你访问的网站看到的公网 IP 实际上是代理服务器的 IP。
示意图如下
不见图 请翻墙

  但是不要高兴得太早,仅仅依靠普通的代理,是远远不够滴!请看下面的例子。


★Flash 如何暴露你的【公网 IP】?


  比如你在浏览器中设置了代理,那么浏览器确实会通过代理来加载网站的页面。但是,浏览器如果安装了某些插件(最典型的是 Flash),这些插件是可以做到绕过代理,直接去访问目标网站的。
  举个例子:
  比如你想在某个国内的网盘上传政治敏感文件。因为这个网盘是国产的,你担心网盘服务器会记录你的公网 IP。所以捏,你设置了浏览器的 HTTP 代理,通过翻墙代理来访问这个网盘的页面。
  如今的很多网盘是利用 Flash 插件进行文件上传的。而且 Flash 插件在上传文件的时候,往往是不经过浏览器的 HTTP 代理,直接连接网盘服务器。如此一来,你的公网 IP 还是暴露了 :(
示意图如下
不见图 请翻墙


★某些国产软件如何暴露你的【公网 IP】?


  除了浏览器插件(以 Flash 为主)会暴露你的公网 IP,还有其它很多国产的网络软件也会暴露你的公网 IP。比较典型的有 QQ、腾讯浏览器、360浏览器、迅雷、等等。关于危险的国产软件,本系列第2篇《个人软件的防范》已经聊过,这里就不再浪费口水了。
  上述这些网络软件虽然都提供了代理的功能。但是,即使你设置了代理,这些软件依然有可能在后台,悄悄地访问自己公司的服务器,传输某些不可告人的信息。而且这些软件访问自家的服务器,往往是绕过代理设置,直接连接——这就会导致你的公网IP暴露。
示意图如下
不见图 请翻墙


★【单】虚拟机的方案


  那么,如何避免上述这几种危险的情况捏?首先来看一下“单虚拟机”的方案。
  咱们可以把那些有危险的软件安装在虚拟系统(虚拟机A)内,然后把该虚拟唯一的虚拟网卡设置为【Host-Only】模式(关于网卡模式的设置,请看“这里”)。由于唯一的虚拟网卡是【Host-Only】模式,所以 虚拟机(Guest OS)内的任何软件都不可能【直接访问】外部网络
  那么,如何让这些危险的软件联网呢?你可以在 Host OS 里面安装一个代理软件。虽然这个 Guest OS 无法访问外网,但还是可以访问 Host OS 的,所以也就可以连接到 Host OS 里面的代理软件。然后你设置这些危险软件的 HTTP 代理或 SOCKS 代理,让它们通过代理连接到互联网。
示意图如下
不见图 请翻墙


★【双】虚拟机的方案


  说完“单虚拟机方案”,再来说说“双虚拟机方案”。
  对很多网友而言,单虚拟机已经足够了。那么为啥俺还要介绍双虚拟机捏?主要有如下几方面考虑
1、某些翻墙代理软件不是开源的,有些网友对这类软件不放心
2、某些网友的 Host OS 不是 Windows,但是很多翻墙代理是 Windows 软件

  所以,咱们可以在“单虚拟机”的基础上再扩展一下,把代理软件也放到虚拟机中(下图的虚拟机B)。虚拟机B 的网卡很有讲究滴——必须是双网卡。一个网卡设置为 Host-Only 模式,以便跟虚拟机 A对接;另一个网卡设置为 NAT 模式,以便访问外网。
示意图如下
不见图 请翻墙


★结合【多重代理】


  在本系列的前一篇,俺介绍了“用多重代理保持匿名”。今天介绍的这2个招数都可以跟多重代理搭配
  打个比方,假设你用“Tor + 自由门”来构造多重代理。对于单虚拟机的方案,你把“Tor、自由门”都安装到 Host OS 即可;对于双虚拟机的方案,你把“Tor、自由门”都安装到 虚拟机B 即可。


★结尾


  关于“虚拟机结合代理来隐匿公网IP”,基本原理就介绍到这里。本系列的下一篇,俺写一个傻瓜化的配置教程,附上详细的截图,告诉你如何操作。


回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2013/01/howto-cover-your-tracks-6.html

216 条评论

  1. 楼主辛苦了。

    回复删除
  2. 编程兄辛苦了;最近不知道怎么的,我一直打不开twitter .

    回复删除
    回复
    1. TO 安静的力量
      请问你用的是哪个翻墙软件?
      俺用双重代理(TOR+其它代理)可以正常打开 Twitter

      删除
    2. 那要是路由器或是带路由功能的光猫呢,怎么设置啊?何况我还有2台电脑要组成局域网共享宽带以及手机要上wifi呢!你让我怎么办啊?好纠结啊!好麻烦啊!!

      删除
  3. 单虚拟机Host-Only 模式,只能吧host os连接设置共享,guest os设置虚拟网卡的网关,如何使用host os的代理软件?

    回复删除
    回复
    1. 对于 虚拟机A 的网卡,无需设置网关。
      对于 虚拟机A 里面的软件如何设置代理,俺又补充了一个“★配置举例”的章节,供参考。

      删除
  4. 我倒
    需要的网卡的详细配置还是没看到。

    下回分解吗?
    三个多月还不见干货。

    回复删除
    回复
    1. 多谢批评 :)
      本来以为有示意图,会比较直观。没想到还是说的不够直白。
      俺已经在本文补充了一个“★配置举例”的章节,供参考。

      删除
  5. 危险的软件是指什么软件?最后两行“打个比方”的例子能更详细一点就好了,不过还是先谢谢博主。

    回复删除
    回复
    1. 看看这个系列的前几篇博文你就明白了.....

      删除
  6. 非常非常感谢您的无私奉献!对于以上的我都看明白了,而且双虚拟机已经搭建完成了,虚拟机A已经通过虚拟机B正常上网了,但就是不知道怎么通过B的代理软件上网呢?例如tor ,我在A里面设置socks5 127.0.0.1:9050 还有I2P htttp 127.0.0.1:4444 https127.0.0.1:4445 都没成功上网,我哪里设置错了么?(我是B的nat共享连接,A的Host-Only通过B的Host-Only 网关上网的)???????????????????????????????????????

    回复删除
    回复
    1. 没必要的地方浓墨重彩,该详细的地方却惜墨如金语焉不详。不解

      删除
    2. 从最初提到“双虚拟机”到
      这篇博文千呼万唤始出来,都超过一个季度了。

      可仍然没有涉及“核心机密”,不能不说遗憾。

      删除
    3. TO 叮当
      首先,不需要把 虚拟机B 的 NAT 共享连接。
      其次,虚拟机A 的软件设置代理,地址[b]一定不要[/b]填写 127.0.0.1 因为 127.0.0.1 表示本机(也就是虚拟机A 自己)
      正确的填写,应该是填写虚拟机B 的 Host-Only 网卡的地址。
      俺已经在本文补充了一个“★配置举例”的章节,供参考。


      删除
    4. TO 1单元和2单元的网友
      关于《用虚拟机隐匿IP》,本来以为有示意图,会比较直观。没想到还是说的不够直白。
      刚才俺已经在本文补充了一个“★配置举例”的章节,供参考。

      删除
  7. 叮当:请说说具体步骤和用 的 软件 吧。

    回复删除
  8. 我比较喜欢这样的方法:虚拟机使用桥接方式连接到网络,虚拟机本地连接的IP地址设置为与主机网卡的IP同一个网段,虚拟机本地连接的默认网关设置成虚拟机自身的IP,然后在主机上启用多重代理(VPN+赛风+无界),把无界的HTTP代理端口通过PortMap映射到主机本地连接的IP,虚拟机浏览器的代理设置为主机的IP和所映射的无界的端口。

    回复删除
    回复
    1. TO Yao Chen
      俺比较推荐 NAT 模式,不太喜欢用 Bridge 模式。
      对 Guest OS 而言,NAT 模式的隐蔽性比 Bridge 模式要好。
      而且,大部分应用场景,NAT 模式都可以搞定的。
      即使 Guest OS 里的软件需要提供端口给外部网络(Host OS 之外),也可以通过端口映射搞定。

      删除
  9. GAE今天翻不了墙了

    回复删除
    回复
    1. 说说俺对 GAE 翻墙(包括 GoAgent)的看法:
      GAE翻墙 用的人多了之后,已经引起 GFW 的注意。
      因为 Google 的 GAE 服务器数量毕竟有限,GFW 可以把 GAE 服务器都列入 IP 黑名单,以此来封杀 GAE 翻墙。
      所以这种翻墙方式难以长久。
      这也是俺博客一直没有推广 GAE 翻墙的原因之一。
      (还有一个原因是配置有点麻烦,菜鸟用户难弄)

      删除
    2. 现在想弄也弄不了啦,google已经不能凭邮箱申请十个application了.我也不推广了,只能寄望于I2P.

      删除
    3. google已经不能凭邮箱申请十个application了,是真的吗?

      删除
    4. 可以啊,但每个邮箱要手机验证
      https://accounts.google.com/NewAccount

      删除
    5. 现在又可以了么?前阵google不是说App转为企业运用了,个人用户申请被拒绝,如果能继续开放当然是善莫大焉

      删除
    6. 现在又可以了么?前阵google不是说App转为企业运用了,个人用户申请被拒绝,如果能继续开放当然是善莫大焉

      删除
  10. 博主!我装的是VirtualBox虚拟机,"单虚拟机方案"没成功啊!

    Host OS里面(是Win7)装了很多代理软件,有I2P,FREEGATE等,我的Guest OS(是XP)的网卡设置由NAT模式改为Host-Only模式,然后将Guest OS XP里面的浏览器的HTTP代理设置改为FREEGATE的127.0.0.1:8580,可是什么网站也打不开呢!其他设置都没改动.要是有图片步骤就好了,像系列的上一篇一样啊.

    另外VirtualBox的管理-全局设定里面有个代理,这个有何用啊?

    回复删除
    回复
    1. Guest OS 里面的软件如果设置代理,[b]一定不要[/b]填写 127.0.0.1
      因为 127.0.0.1 表示本机地址,也就是 Guest OS 自己。
      你必须填写 Host OS 的 Host-Only 虚拟网卡的地址。
      俺已经在本文补充了一个“★配置举例”的章节,供参考。

      删除
  11. 上个网,还这么烦,真累

    回复删除
  12. 上个网,还这么烦,真累

    回复删除
    回复
    1. 编程随想在为一只网军进行辅导,哈哈

      删除
  13. 博主:我的计算机有三个网卡:2个内置【一个连接普通网络线水晶头的那种,一个内置无线网卡】,1个外置usb上网卡,平时用外置的usb上网多,网卡模式该如何设置捏?

    回复删除
    回复
    1. 俺刚刚在本文补充了一个“★配置举例”的章节,供大伙儿参考。
      不论你是用“单虚拟机”还是“双虚拟机”,Guest OS 里面的代理设置跟你的物理网卡没有啥关系。
      所以,虽然你有三个物理网卡,但是不影响代理的设置。

      删除
  14. 博主,本人电脑小白,我用的是Google appid还有个什么GAE翻的,有危险没有?好像没多少人用这个呀?您能帮忙解释下吗?

    回复删除
    回复
    1. 不建议你使用GAE进行敏感操作。它默认的加密证书的私钥是公开的,加密算法是弱的,几乎可以说没有安全性。
      你可以拿GAE作为第一步,然后下载或者办理其他服务。

      删除
  15. 这个导向不错,示例就不看了~~

    回复删除
  16. 那有路由器的怎么设置啊?求博主解答

    回复删除
  17. 订阅你了。好文章,群众喜闻乐见的好文章

    回复删除
  18. to8楼1单元:编程随想:
    因为我的VM是精简版,因而没法用NAT,此外,我这里是局域网环境,而且只有我这台电脑,因此也无需考虑Guest OS的隐藏问题。你提到Guest OS的端口映射,我不是这个意思,我的意思是:在Host OS上运行代理软件,通常这些代理软件都指在127.0.0.1上监听,要是不把Host OS上127.0.0.1开放的相应端口映射到网络上,Guest OS就不能通过Host OS的代理软件翻墙。另外有人提到光猫,其实那个东东是很不安全滴,存在很多漏洞,如果要搞翻墙等活动建议还是买个路由器。

    回复删除
    回复
    1. TO Yao Chen
      代理软件的监听端口只绑定 127.0.0.1 确实是一个麻烦的问题。
      俺会抽空说一下此问题如何解决。

      顺便问一下,你的 VM 是啥版本,怎么会没有 NAT 功能?

      删除
  19. “当你安装了虚拟机软件之后,虚拟机软件会在你的 Host OS 系统中增加一个 NAT 的虚拟子网和一个 Host-Only 的虚拟子网。
      除了增加上述两个虚拟子网,虚拟机软件还会为 Host OS 增加一个 Host-Only 的虚拟网卡。”

    问题:
    如何查看或修改 NAT虚拟子网,Host-Only虚拟子网和Host-Only虚拟网卡的IP?

    既然是扫盲,不妨像虚拟机系列似的写得再傻瓜一些。可以相信,普通网友仅根据虚拟机系列和这篇是搞不定双虚拟机隐匿IP的!

    回复删除
    回复
    1. 多谢批评 :)

      俺今天又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      删除
  20. 1.既然主机中的Flash能够暴露公网IP,而单或双虚拟机中的无此风险,
    是不是说Flash,在能够直连网络的情况下就绕过代理,但在后者环境中就会自觉地使用代理?
    +其他危险软件也是如此?

    2.只使用NAT网卡的虚拟机中的网络行为能否被通过IP定位?
    在虚拟机中上网,假使被黑,主机中的行为会不会被监控?

    3.单或双虚拟机模式中,提供的代理是不是全局代理?
    每个联网程序都要一一设置?比如,赛风+tor,虚拟机中的所有软件都要设置成tor的IP和端口?

    回复删除
    回复
    1. 1.大概是这样。
      2.可以用host-only。
      一般不会。可以用快照。
      3.不是的。
      是的。还可以用sockscap。

      删除
  21. 樓主你是新手吧

    大致分为下列几种情况:

    1.不用代理

    网民发帖流程:

    发帖人 → ISP → 服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → 发帖人IP → 发帖人ISP → 档案

    爆菊几率:100%

    2.只用1层私人VPN

    网民发帖流程:

    发帖人 → ISP → VPN → 服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → VPN的IP → 路由日志 → 链接者IP → 链接者ISP → 办网档案

    爆菊几率:100%

    3.用1层共用VPN

    网民发帖流程:

    发帖人 → ISP → VPN → 服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → VPN的IP → 入侵VPN服务器 → 日志 → 链接者IP → 链接者ISP → 办网档案

    爆菊几率:80%

    4.用2层私人VPN

    网民发帖流程:

    发帖人 → ISP → VPN1 → VPN2 → 服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → VPN2的IP → 入侵VPN2服务器 → 日志查VPN1 → 路由日志 → 链接者IP → 链接者ISP → 办网档案

    爆菊几率:40%

    5.用2层共用VPN

    网民发帖流程:

    发帖人 → ISP → VPN1 → VPN2 → 服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → VPN2的IP → 入侵VPN2服务器 → 日志查VPN1 → 日志 → 链接者IP → 链接者ISP → 办网档案

    爆菊几率:25%

    6.用N层私人(共用)VPN后删掉VPN,如果发帖人有QQ

    网民发帖流程:

    发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → 访问网站 → 发帖人常用用户名 → 谷歌(百度)一下 → 查到QQ → 找企鹅公司查近期登录IP

    爆菊几率:100%

    7.用N层私人(共用)VPN后删掉VPN,如果发帖人无QQ

    网民发帖流程:

    发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → 访问网站 → 发帖人常用用户名 → 谷歌(百度)一下 → 查到其他论坛注册的ID → 找管理员查注册(登录)IP

    爆菊几率:100%

    8.用N层私人(共用)VPN后删掉VPN,如果发帖人再网上没有任何信息

    网民发帖流程:

    发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → 访问网站 → 无常用用户名 → 根据发帖内容(如北京市海淀区XX小区) → 监控整个小区宽带 → 分析 → 找到IP

    爆菊几率:80%(如果不是严重的问题,如判国之类的应该不会用这种蛋疼方法)

    9.用N层私人(共用)VPN后删掉VPN,如果发帖人再网上没有任何信息,但电脑上有自动链接网络的软件,如QQ,金山快盘等。。

    网民发帖流程:

    发帖人 → ISP → VPN1 → VPN2 → VPN3 → VPN*n服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → 访问网站 → 无常用用户名 → 各大公司查IP → 查到常用用户名 → 查历史登录记录 → 查ip → 爆菊

    爆菊几率:100%

    10.到KFC之类的地方上公共网。

    网民发帖流程:

    发帖人 → KFC → 服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → 访问网站 → 看发帖日期时间 → 到KFC → 调监控 → 爆菊

    爆菊几率:100%

    11.到KFC之类的地方上公共网,假设本次没被监控拍到

    网民发帖流程:

    发帖人 → KFC → 服务器托管商 → 服务器

    网警追踪流程:

    网监 → 服务器IP → 访问网站 → 看发帖日期时间 → 到KFC → 查MAC地址 → 到附近其他公共网络查此MAC → (如果DHCP会查计算机名) → 附近监控 → 爆菊

    爆菊几率:100%

    12.假设网监已知道MAC地址

    (本条存在疑问,具体见站长评论)

    12.1 假设自己买的电脑

    查MAC数据库能找到销售商。。一般买电脑的时候MAC也有记录。。可能是三包凭证之类的都有。。而一般买电脑会让你提供个人信息填写三包,MAC之类的硬件代码也会记录。。之后你懂的,不过有些商家对这个不怎么记录。不过也有可能查购买者银行卡(如果非现金)。所以..爆菊几率<25%

    12.2 假设是线下二手交易

    同样,查到电脑原主人,问问就知道了。。不过一般交易者都会留下你的手机号之类的,到移动联通电信之类的查查就知道了。。如果非实名卡查查基站,能查到IMEI,如果不是山寨机同样有方法查到买手机的人,所以我感觉这样反而没到小地方买电脑的方法保险。。爆菊几率<75%

    13.知道地区了。。

    查所有与1723交换记录(openvpn蛋疼)。。查链接时间,你懂的。。

    回复删除
    回复
    1. 19楼的,请问你除了VPN之外你还懂得其它的匿名上网方法吗?戴套(Tor)上网知道不?,I2P知道不?多重代理知道不?博主是新手那你这个老手不知道MAC地址可以修改的吗?别不懂装懂好不好?先潜水一段时间好好学习下再来发言吧。所谓的井底这蛙描述的就是你这类狂妄自大的人。

      删除
    2. 除了隐藏IP之外,通过tor可以隐藏真实的MAC地址么?还有其他的一些自己的电脑硬件信息以及系统信息??

      删除
    3. ip都查不到,何况mac了。其他硬件信息及系统信息几乎没用。如果还不放心,就用虚拟机。

      删除
    4. 21 楼网友转载的这篇文章,漏洞很多。
      而且严重夸大了网警的能力。
      有空的话,俺写一篇博文批驳一下。

      删除
    5. 有一定的普及作用,初学者水平

      删除
    6. 抄的满工整!取长补短相互学习还可以,但如果是来砸场子的,拿自己懂得的一点毛皮,来贬低他人炫耀自己,就不是个好孩子了!

      删除
  22. google的关键字提示被取消了,难道迫于中共压力?http://www.williamlong.info/archives/3335.html

    回复删除
  23. 忍不住要批评楼主几句:
    按照这篇文根本就鼓捣不出隐匿ip的双虚拟机。单虚拟机也弄不成。

    为什么不跟介绍虚拟机的文章一样一步步图解呢?

    网上说,host-only网卡模式是最复杂的。可你却在这最节省笔墨。

    回复删除
    回复
    1. 多谢对俺的批评 :)

      为了表示知错就改,俺今天又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      删除
  24. 辛苦楼主了。但你这个像是个指引,如果是傻瓜教程就好了,可苦了菜鸟。
    Host OS 的 Host-Only 的虚拟网卡IP在哪里看,针对不同虚拟机说说就好了。还有,代理端口不用映射,在上网软件里的代理设置直接填就行吗?还有,真的不用代理服务器软件吗?

    回复删除
    回复
    1. 今天俺又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      删除
  25. 单虚拟机host-only模式,ip填mnet1的ip,端口填wujie的9666。怎么不通???

    回复删除
  26. 还以为是自己的问题,原来众网友都没有搞掂啊。

    按文中配置实测virtualbox 单双都不成功。
    vm workstation单也不成功。

    回复删除
    回复
    1. 今天俺又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      希望大伙儿看完之后,能搞定

      删除
  27. 博主好:单虚拟机方案中,我在virtualbox虚拟机中把虚拟网卡设置为 NAT模式,在HOST OS 和 GUEST OS中都可以正常上网。当把虚拟机中虚拟网卡设置为Host-Only 后,HOST OS 开无界代理,可以上网,但在GUEST OS 的 IE 代理设置把所有 HOST OS中用 CMD——IPCONFIG命令下看到的所有 ip 都试了一遍,端口用无界的9666以及80试,GUEST OS 的IE 都无法连接网络,请看看问题出在哪里,谢谢。

    回复删除
    回复
    1. 你碰到的问题,可能跟 无界 开启的监听端口绑定的地址有关。
      今天俺又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      里面有提到此问题。

      删除
  28. 听说google与360合作,各位你们怎么看。

    回复删除
    回复
    1. 看哪方面的合作?
      他们有过合作,现在应该也还在合作

      删除
  29. 虚拟机方案,现在还不敢试,等大家讨论成熟再做。想问楼主,tor+其他代理,你说的很详细,但tor+12p应该怎么来设置他们间的接口设置。

    回复删除
    回复
    1. I2P太慢了,好几百个活动节点了,还那么慢,实在没办法忍着用吧,可是有些网站的有些部分怎么不显示呀,试过很多天了,还是如此,设置问题么,安全策略问题,不知道什么问题,还有有很多时候I2P就找不到出口代理了,不知道怎么设置?????

      删除
    2. tor+其他代理你都会了,tor+12p还不会?
      I2P 默认提供 HTTP 代理(127.0.0.1:4444)和 HTTPS 代理(127.0.0.1:4445),在tor的设置-网络-我使用代理连接网络,填入地址,端口,类型就行。
      to:叮叮当
      i2p慢,tor难用,这些都适合高度匿名用(再配合双虚拟机更好),平时只是浏览一下网页,不需要用这些的。

      删除
    3. 用 TOR+I2P 有一个细节要注意
      I2P 提供的代理端口,HTTP 和 HTTPS 是分开的。
      TOR 只能走 I2P 的 HTTPS 代理的端口,而不能走 HTTP 代理的端口
      这跟 TOR 的加密传输有关

      删除
    4. TO 叮叮当
      I2P 确实比较慢。通常来说,安全性跟性能 是比较难以兼得的 :(

      某些网站的页面显示不正常,有一种可能是:
      因为 I2P 的性能差,导致某些页面的 JS脚本、CSS样式表、等页面元素加载失败。
      所以页面显示不全。

      删除
    5. i2p内的网站速度很快,网外的普通站点基本不能用。很难访问

      删除
    6. TO 5单元的网友
      I2P 访问普通的 Web 网站速度慢,主要是因为 I2P 的 HTTP 出口代理太少了(通常只有 1-2 个)
      所以对 I2P 内网访问快,对普通互联网网站访问慢。

      其实 I2P 当初设计的目的,并不是用来“翻墙”,而是用来搭建一个“暗网”(darknet)

      删除
  30. 博主:单虚拟机方案“虚拟机A 内部的软件如果要设置代理,代理的地址要填写 Host OS 的地址,而且必须填 192.168.200.10“,这里的 Host OS 的192.168.200.10地址如何找到(用IPconfig?)?我的机器单虚拟机 NAT 都可以上网,HOST-ONLY模式写代理后也无法上网,在网络中心只有“VirtualBox Host-Only Network”,请指点。

    回复删除
    回复
    1. 因为有太多同学没有配置成功,俺又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      删除
  31. 如果说支付宝财付通的安全插件不安全,那么通过您的这个单双虚拟机方案可以解决么?

    回复删除
    回复
    1. 看你这个“不安全”是指什么,如果是指它本身会泄露电脑里的信息,那么虚拟机正好。如果是指会被其他人偷到你的支付宝密码,那就不在此讨论之列了。

      删除
  32. 实验证明网卡NAT模式比桥接模式网速慢,那么单双虚拟机方案可以用桥接模式代替NAT模式么?

    回复删除
    回复
    1. TO 时空裂缝
      俺这两个方案中,如果用 Bridge 来替代 NAT 模式,理论上是可行的。
      不过俺平时几乎不用 Bridge 模式——感觉隐蔽性不如 NAT 模式

      顺便问一下:
      在你的环境中,两种模式的性能差异有多大?用的是何种虚拟机软件?

      删除
    2. TO 博主
      下载速度nat10多K 桥接模式好几十K 我用的vm6.0 另外nat模式网卡不能用VPN,怎么办啊?还有就是虚拟机外已经装了杀毒软件,虚拟机里面还需要装杀毒软件么?

      删除
    3. 应该可以用vpn的,换一个试试,或有可能你那里的vpn封锁比较厉害。
      个人觉得虚拟机里面还是需要装杀毒软件的,或是外国的免费版。或你有注册码,在官网下个原版也可以

      删除
    4. TO 32楼3单元的
      VPN没问题 我已经实验过了 3个系统 两个杀毒 感觉太慢了电脑 想卸个杀毒缓解一下压力!

      删除
    5. VPN是没问题 但NAT模式 VPN连不上 不要误解了

      删除
    6. 网上查了下,nat模式是不支持vpn的。但很奇怪地,我的VMware的nat模式居然可以vpn拨号上网。
      你这种情况,nat模式下可以主机vpn拨号,虚拟机不拨号直接上网就已经是经主机的vpn了。或改为桥接模式,只是这样隐蔽性没那么好。

      删除
    7. TO 6单元的网友
      虚拟机的 NAT 模式下是可以用 VPN 的!
      在过去几年间,俺至少成功尝试过 Hotspot Shield、OpenVPN、赛风的VPN通道、等等。

      TO 时空裂缝
      俺猜测,你想问的是:
      NAT 模式的虚拟机运行了 VPN 之后,如果让其它虚拟机利用该 VPN 翻墙?
      俺会抽空专门写一篇扫盲教程,介绍跨机器共享翻墙通道的几种玩法。

      关于虚拟机的杀毒软件
      如果该虚拟机只允许翻墙工具,没有做其它用途,而且快照做得比较完备,那不装杀毒也无所谓。
      只需定期回退快照即可。
      反之,如果虚拟机用于日常用途,而且存放有个人敏感信息,那还是装一个杀毒吧。

      删除
    8. TO 博主
      不是您说的那些VPN,我说的VPN是指在电脑网络连接里创建的VPN连接,只要输入用户名 密码就可以连接的VPN,错误提示800 不知道怎么办?

      删除
    9. TO 时空裂缝
      你要说清楚,vpn是在主机,还是指虚拟机里的。虚拟机是一个还是两个,网卡分别用什么模式。你要把问题讲清楚了,别人才好回答。博主都很忙,几天才露次面。

      删除
    10. TO 32楼9单元的
      主机的网卡可以弄成NAT模式么?还用问,当然是虚拟机里了!有必要说一个还是两个虚拟机么?知道NAT模式网卡不就够了!

      删除
    11. TO 时空裂缝
      你还没有明白什么意思吗?我是指你要在主机里用vpn,然后虚拟机代理上网,还是虚拟机里直接vpn拨号上网。

      删除
    12. TO 时空裂缝
      你用的这种 VPN,实际上是走标准协议的,所以无须再安装额外的 VPN 客户端。
      你碰到的 800 错误号,含义是:
      “VPN Connection Error 800: Unable to Establish Connection”

      有一种可能是:该 VPN 服务器已经被封,所以无法建立连接。
      请问,你在 Host OS 用同样的用户名/密码,也会出现这个错误吗?

      删除
    13. TO 博主 在 Host OS 用同样的用户名/密码 连接正常

      删除
    14. TO 时空裂缝
      Host OS 可用,那就排除了 VPN 服务器的问题。
      要不你再把 Guest OS 的网卡设为 Bridge 模式 ,看看是否能连上。

      删除
  33. 你们成功了么?按照博主新写的配置举例,我的双虚拟机方案没成功,我是用tor+VPN ,杀毒禁用防护,防火墙关了,虚拟机内的网卡自动获取IP,用QQ测试没成功,然后我又试了不自动获取IP,单网卡的那个虚拟机设置另一个虚拟机的网关,也没成功,博主您漏了什么没写么?

    回复删除
    回复
    1. 因为有太多同学没有配置成功,俺又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      希望大伙儿看完下一篇,能够搞定

      删除
  34. 博主,你的python系列再不写我都要学完了,python比GCD这种东西重要得多吧= =

    回复删除
    回复
    1. TO Kai Zhao
      非常抱歉,Python 系列又拖了快一年了 :(
      主要是俺要照顾到大多数读者的需求。
      俺博客的读者群扩大了之后,程序员的比例下降了。

      不过别担心,Python 系列不会半途而废的!

      删除
  35. 博主 你会出傻瓜式教程不

    还有 请问一下 能不能实现 在虚拟机里面 每个软件都单独设置代理

    而虚拟机就是一个代理网络环境呢?

    回复删除
    回复
    1. 只要把不同代理的端口都映射到主机的虚拟网卡上就可以了。

      删除
    2. TO JWrong.X
      今天又补上了本系列第7篇,
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      另外,Guest OS如果用 NAT 网卡模式,你需要到虚拟机软件的网络配置界面,添加“端口映射”。
      就可以把 Guest OS 的端口映射到 Host OS
      然后你这台电脑就可以给其它的网络设备(包括其它电脑、手机、平板)提供翻墙通道。

      有空的话,俺继续在《扫盲操作虚拟机》系列补充这方面的知识。

      删除
  36. 楼主还是搞一个真实的ip设置方法吧。这么多方案这么多ip。好晕啊!!

    回复删除
    回复
    1. 俺又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      删除
  37. 期待的虚拟机出现了,我用i2p拜访楼主一次,想发条留言没成功就断开了。

    回复删除
  38. 博主:还劳驾能以图示的方式说一下单虚拟机方案中 HOST OS 和 GUEST OS
    中的各网卡以及相应的 ip。

    回复删除
    回复
    1. 请看今天新鲜出炉的 本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      删除
  39. 不明白楼主为何不提端口映射或代理服务器软件,相信很多菜鸟看了这文会很焦急,这里就越殂代疱,简单说说如何单host-only网卡单虚拟机代理(但还是希望楼主能出个傻瓜教程)。
    1.端口映射工具:如portmap,porttunnel,是把代理软件在127.0.0.1的端口映射到虚拟网卡ip上。portmap是国人做的,porttunnel是进口货,我用的是porttunnel加注册码的。这是在主机运行的。这俩使用都一样。
    in(输入)ip-虚拟机在主机生成的虚拟网卡ip,就是host-only或nat网卡。VMware的host-only网卡在主机的“网络连接”下的VMnet1,nat网卡是VMnet8,在它们属性里的“internet协议(tcp/ip)”就有它们的ip。我没有VirtualBox。
    out(输出)ip-就是127.0.0.1。这个porttunnel的“out”-“target”默认是一个www.a_host.com,改为127.0.0.1。下面的bind address也选127.0.0.1。
    输入端口,输出端口就是代理的端口,填一样的。

    2.虚拟机里要一个sockscap,设置里的socks服务器ip填host-only网卡ip,端口填代理端口。选“socks版本5”,“由远端解析域名”。然后“新建”,找到上网软件的执行程序就行。

    我只有socks代理设置成功,http代理不行,且虚拟机一定要用sockscap才行,直接在上网软件里设置socks代理不行。我是xpsp2,VMware是5.5.3。

    另一种是单NAT网卡单虚拟机代理,就是网关填虚拟机ip,不让软件上网(桥接方式也可以这样)。
    在虚拟机里运行cmd,输入ipconfig /all,找到IP address(虚拟机ip),DNS server(DNS服务器ip),在控制面板下的“网络连接”-“本地连接”-“internet协议(tcp/ip)”里,“ip地址”和“默认网关”都填上面找到的虚拟机ip,“dns服务器”填上面找到的DNS服务器ip。
    这种方法可以直接在上网软件里填nat网卡ip和代理端口,不用sockscap,但主机仍要端口映射软件。

    另一种方法是用代理服务器软件,不用端口映射软件,不过代理服务器软件不好找,设置也复杂,有兴趣的可以自己试试。

    回复删除
    回复
    1. 不好意思,上面说http代理不行,其实http/https代理是可以的,是我搞错了端口。但socks代理还是要sockscap软件,不清楚是sp2,还是虚拟机版本低的问题,大家可以自己不用sockscap试试。

      删除
    2. 搜了半天没找到。能否共享下你的porttunnel注册码。谢谢

      删除
    3. 我看了下 你的这个方案就是我思考了很久了 将整个虚拟机的网络环境布置到代理软件(tor)链路里面去 很好 但是我不是明白 不知道能否私下交流 谢谢了!

      删除
    4. 我是一单元。有问题可以提出来大家讨论下,我也不是懂太多的,没楼主专业,楼主该是太忙了。

      删除
    5. TO 39楼的网友
      多谢分享你的经验 :)
      下面说说俺个人的看法,供交流。

      [b]关于“端口映射”[/b]
      俺提供的“单虚拟机方案”和“双虚拟机方案”,理论上是不需要搞端口映射的,所以也不需要额外装端口映射软件。
      顺便说一下,其实虚拟机软件本身就支持端口映射的功能。
      关于虚拟机的端口映射功能,某些网友在其它场合可能会用得到。
      俺会抽空写一篇博文,加到《扫盲操作系统虚拟机》系列中。

      [b]关于“SOCKScap”[/b]
      俺的这两个方案,理论上也是不需要搞 SOCKScap 的。不用 SOCKScap 应该也可以调通。
      你提到说:
      “只有socks代理设置成功,http代理不行”

      俺觉得比较奇怪。

      删除
    6. TO 3单元的网友
      如果有啥问题,也可以邮件私下交流。

      删除
    7. 博主终于出现了。我是一楼,不好意思,班门龙虎了。只是看到大家很心急,把自己摸索出来的写给大家看。
      “只有socks代理设置成功,http代理不行”是我搞错了端口,其实http代理是可以的。太久没用tor的http代理,搞错了它那个怪端口8118。
      不过socks代理确实是要sockscap才行,直接在软件里设置不行。不清楚是虚拟机系统sp2,还是VMware5.5.3版本低的问题。赶紧试试博主新文的方法再来报告。

      删除
    8. 俺考虑再抽空写一篇博文,介绍翻墙通道“跨虚拟机”或“跨机器”共享的几种搞法

      删除
  40. 期望有VPN放在虚拟机内设为可选代理的内容。

    回复删除
    回复
    1. 俺考虑一下。如果有时间,再写一篇博文,讲讲 VPN 如何跟“虚拟机方案”结合

      删除
  41. 博主也算是抛砖引玉,有心人自然有办法学会,能够翻墙到这里,不会在网上再找么。楼上好些人真难伺候。。

    回复删除
    回复
    1. 博主可不是在抛砖引玉,虚拟机系列都写多少篇了。博主已多次提到了,他就是面对菜鸟网友的。不过这篇不知为何写得这样隐晦。

      删除
    2. TO 1单元的网友
      这篇确实写的不够傻瓜化。抱歉 :(

      俺今天又补上了本系列第7篇
      《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]用虚拟机隐匿公网IP(配置图解)[/url]》
      内含大量操作配置的截图,足够傻瓜化

      删除
  42. 请问博主,我在使用TOR想加个HTTPS代理进入微博或邮箱(因为微博没有加密连接),总是不行(或者我找的免费代理原因),有什么办法可以实现TOR加加密代理连接上普通网站?

    回复删除
    回复
    1. tor是支持https的,你换一个代理试试。
      微博是个公开的平台,即使你用了加密代理,但代理出口到微博服务器之间的路程还是无遮掩的。用加密代理似乎无甚用处。用一个翻墙代理+tor,或者再加上虚拟机,把真实ip隐藏就行(tor也有加密处理)。
      一般邮箱都有https加密,如gmail,可以不用加密代理了,只要支持https的翻墙代理就可以了。或者你会用hosts文件,甚至不用代理直接上gmail。

      删除
    2. 我的的想法是防止tor出口监测,用tor上加密代理网站,从加密代理网站进入微博或邮箱

      删除
    3. TOR 本身提供多重代理(也就是有多个 TOR 节点转发你的网络数据流)
      但是请注意:TOR 的最后一个节点是直接面对目标网站的。
      也就是说,如果[b]目标网站本身是不加密的 HTTP 协议[/b]。那么 TOR 的最后一个节点是可以看到你的网络数据流的明文。

      即使你不用 TOR,改用其它代理的工具,只要目标网站走 HTTP(不加密),那么代理服务器(包括 VPN)就有可能看到你的网络数据流。
      这是由[b]目标网站本身[/b]的性质决定的,跟代理工具无关。

      而像 Google 的很多服务都走加密的 HTTPS,就不存在此问题了。

      删除
  43. 我没有google钱包,也没有海外银行账户,请问哪位志士仁人帮助我申请验证一个google 钱包,我要充值google voice,方便联系家人。
    我愿意多付些辛苦费,我只有国内的支付宝。
    另求教:通过GV联系在国内的亲人朋友,安全吗?中共可以反查得到我真实IP吗?(我在国内)
    我的邮箱:xxxxx12345hhhhh@gmail.com,有心者请留言,Thank you very much!

    回复删除
    回复
    1. 如果对安全性要求较高,即使用 GoogleVoice 也走代理中转。
      当然啦,需要牺牲速度。

      删除
    2. 如果你要使用VoIP(网络电话)类的软件,请使用支持ZRTP或者SRTP加密协议的软件。并在(使用ZRTP)通话时和对方(见到视频)语音核对ZRTP的4位验证字母。

      支持的软件有例如jitsi(java写的聊天软件,Windows/Linux),Linphone等。

      删除
  44. TO 博主 32楼那点不就去了,在这回复了,把 Guest OS 的网卡设为 Bridge 模式 ,可以连接上。把 Guest OS 的网卡设为 NAT模式 ,连接不上。

    回复删除
    回复
    1. TO 时空裂缝
      如果是这样,那多半就是你用的 VPN 跟 NAT 模式不兼容。
      如果你用“单虚拟机方案”,那应该是没问题的——VPN 直接装到 Host OS
      如果你用“双虚拟机方案”,就得把 虚拟机B 设置为 Bridge 模式。虚拟机A 依然保持 Host-Only

      删除
  45. flash也能泄露真实IP,这要怎么破?虚拟机好像不能啊

    回复删除
    回复
    1. TO Alex Chan
      如果虚拟机配置得当,可以避免 Flash 暴露你的公网 IP
      请看本文的示意图。

      删除
  46. 国内某些软件会绕过http,https代理,socket4/5代理也会绕过吗?

    回复删除
    回复
    1. TO Minghui Qi
      SOCKS 代理跟 HTTP 代理,本质上都是代理。
      某些上网软件,虽然你设置了代理,但是,该软件依然有可能不通过代理,直接连自家的服务器,然后上传某些用户隐私。
      这种情况下,该软件公司的服务器就有可能看到你的公网IP

      使用 Host-Only 的虚拟机,就是要杜绝网络软件直接联网,强迫它们不得不走代理。

      删除
  47. flash插件绕过代理服务器是怎么实现的?除了用虚拟机之外,还有别的方法吗?

    回复删除
    回复
    1. Flash 插件本身就是一个动态库,可以不依赖浏览器而进行网络通讯的。
      而且 Flash 的 API 接口也提供了网络通信的功能。
      也就是说,Flash 代码是可以不依赖浏览器,而发起一个网络连接请求的。

      想彻底避免,要么用本文介绍的虚拟机方案,要么禁用 Flash 插件。

      删除
  48. 我装的系统是windows,然后在windows上装了一个虚拟机,虚拟机里装了linux,linux里用ssh代理。这样安全不。

    回复删除
    回复
    1. 如果你用的是“单虚拟机方案”,那么代理应该装在 Host OS,而不是 Guest OS。
      你这样的配置,搞反了。

      删除
  49. 楼主大大你好!
    我经常在网上会发表一些偏激言论和文章,所以对自己的网络安全这块有点担心。看了很多你写的翻墙相关的文章,受益颇多!但翻墙方法五花八门,一直没能找到适合自己的。
    所以能不能分享下你目前所使用的整个翻墙工具栈,毕竟经过了时间的检验,所以用起来心里更加有底!也省去了重复研究各种软件的时间,把更多精力放在翻墙之后。
    建议楼主可以写篇文章,介绍自己的工具栈,并会不断更新。网友也可以在此基础上贡献更好的翻墙姿势。
    并分别介绍2种工具栈:一种是翻墙看youtube,facebook的普通用户;一种是对保密要求较高,需要避免跨省的用户。


    回复删除
    回复
    1. 多谢提建议 :)
      老实说,俺平时用的翻墙工具,也就是俺博客上推荐过的那几款,包括如下:
      TOR(这个是始终都用的,跟另外的翻墙工具组合双重代理)
      无界、自由门、赛风、世界通、VPN Gate(这几款任选一款)
      I2P(这个速度太慢,平时不用,应急的时候用)

      删除
  50. 博主,文中的示意图是用什么工具创建的呢?

    回复删除
    回复
    1. 其实很简单,不是啥高深的玩意儿 :)
      先用 Google Docs 画,然后再导出为 PNG 图片

      删除
  51. 准备单纯用双虚拟系统匿名上网用,虚拟机里装了一个ubuntu12.04感觉太缺乏流畅感了,有没有恰好适用的操作系统推荐?

    回复删除
    回复
    1. 如果仅仅是上网,找一个轻量级的 Linux 操作系统。
      可以参考维基百科如下链接
      [url]https://en.wikipedia.org/wiki/Lightweight_Linux_distribution[/url]

      删除
  52. 先感谢下楼主,看了你的文章学习到很多东西

    不过有几点没有搞明白
    1.使用虚拟机的目的是什么,若是只为了实现全局代理,vpn也可以达到全局代理的效果,这两种方法有什么区别?
    虚拟机的话,可以达到使用socket5做全局代理.
    不过用过一个软件叫做Proxifier,也可以实现socket5的本机全局代理,虚拟机的方法是否太麻烦一些

    2.对某服务器隐藏公网IP(普通代理),还是对所有人隐藏IP(全局代理)好?
    若是只需要对目标服务器隐藏公网IP,那么禁用浏览器的flash和插件之类的,然后用代理就可以达到目的了.
    若是使用了全局代理(目标服务器知道代理服务器A入侵了他,腾讯知道代理服务器A登录了某QQ),那么网警就知道了,入侵目标服务器的QQ号,之后直接就户口本了,这样反而不安全

    我认为,要达到最好的匿名效果,使用楼主所说的,自由门+tor或i2p最好,但是不要全局代理,只是让需要匿名的操作走出口IP即可(也就是匿名身份的操作和网络身份的操作的分离)

    回复删除
    回复
    1. 1.虚拟机安全性更好,因为同物理机系统隔开,不会受到物理机上不安全软件的影响(如国产软件),
      同时可以避免各种插件绕过代理泄漏真实IP(如flash、java插件),
      编程虚拟机原帖其实写的很详细,请仔细阅读。
      2.生活用QQ,和匿名发表敏感信息是一定要分开操作的,qq、360等已经是公开的间谍软件了,
      用同一代理登录QQ,相当于自己出卖自己,编程兄有很多文章建议仔细阅读。
      一层代理肯定是不安全的,通过相关路由日志是可以轻松定位的,所以建议使用多重代理,
      但是代理中转越多,速度就越慢,操作容易超时,这就需要自己找到安全和速度的平衡点。

      删除
    2. TO 52楼的网友
      问题1
      虚拟机的主要目的是:隔离应用软件对网络的直接访问。
      你提到的 VPN 和 Proxifier 可以实现全局代理,但是无法[b]彻底隔离[/b]软件的网络访问。
      某些足够底层的软件,还是有可能绕过全局代理。

      问题2
      俺强烈建议,把不同用途的软件,装到不同的虚拟机中。
      比如,专门有一个虚拟机用来从事危险的网络行为。然后对这个虚拟机设置多重代理。
      俺就是这么干的。
      从事危险网络行为的虚拟机,切不可安装那些危险的国产软件(比如 QQ、360、等)

      TO 1单元的网友
      多谢帮俺回答 :)

      删除
  53. 在中国被怀疑就等于有罪!请求博主制作TOR官网首页上的“Tails”工具教程,它不仅具备了双虚拟机强制TOR代理的功能,而且可以写入小巧的SD卡,几乎可以在任意计算机和网络环境下使用。最令人欣慰的是它作为个“中文操作系统”仅运行于RAM,集成了很多有益于隐私的软件和办公软件,如加密聊天软件,磁盘加密工具,端对端加密邮件,磁盘擦除软件等,关机或者中途拔掉SD卡或者U盘还自动擦写RAM,不对硬盘有写入操作,除非您自己授权。而SD卡可以很快的扔马桶冲掉!本人折腾了好久,就是不知道怎么设置上网。它太完美了,拜托了博主了……

    回复删除
    回复
    1. 安全你妈个傻逼,被怀疑=有罪,你应该是吃大便长大的,美狗的荒唐逻辑暴露了低智商,低智商还想学尼玛的技术,把智商提高一截再来学狗技也不迟,马桶都比你强,呵呵

      删除
    2. 墙外真不赖

      请求博主制作TOR官网首页上的“Tails”工具教程

      希望博主迅速制作这个教程的中文版,谢谢。

      删除
    3. 美狗就这些匿名对待国内网友?扮五毛也能领狗粮?

      删除
    4. TO 安全 和 墙外真不赖
      多谢提建议 :)
      你提到的 TAILS 是一个专门为安全隐匿性定制的 Linux 发行版。
      俺在考虑,是否针对 Linux 在安全方面的发行版,写一个教程。

      删除
    5. 在“粉碎棱镜”的网站上介绍了两个专门为安全隐匿性定制的 Linux 发行版

      一个是 “Liberté Linux ”另外就是大名鼎鼎的TOR网站提供的“ TAILS ”了,“Liberté Linux ”我没有用过,“ TAILS ”倒是自己安装进了SD卡,也运行起来了,但是没有成功连过网,其实就是不知道怎么设置网络,还好相比起“Liberté Linux ”这个“ TAILS ”会实用很多,因为它可以设置成中文!而且可以设置成win的操作界面,对不熟悉Linux 的多数用户而言爽了。
      虽然也玩过随想大哥的双虚拟系统,也相信这样的上网是已经很安全了,但是我很不愿意在自己的计算机里留下使用双虚拟机的证据,其实我曾经把它们都放到TrueCrypt建立的隐藏操作系统里,这样我的迷惑操作系统里就不必要安装引人怀疑的虚拟机软件了,但是建立的隐藏操作系统有个不可以避免的问题是:必须在迷惑操作系统里安装TrueCrypt而且不是绿色安装,还要加密当前的迷惑操作系统,以便可以用不同的密码进入隐藏或者迷惑操作系统。问题出现了:你为什么安装TrueCrypt !你有什么秘密?随后的是暴力逼供……我不是危言耸听,在任何一个不是法治的国家里都是这样的,即使是在美国,涉及国家安全的情况下我想也是一样。
      现在我更加渴望这个只运行在内存里的操作系统,因为它更加偏执的最求安全!它不会在计算机硬件上留下任何痕迹,可以在任意电脑、任意网络环境下使用,而且可以随时毁掉使用的证据(小到一张2G的SD卡)。

      因为这个“ TAILS ”是用TOR上网的,但是用而这个“ TAILS ”里的 TOR上网就难了,现在没有前置代理是连不是TOR网络的,目前还不知道怎么设置,另外发现这个“ TAILS ”里集成有“I2P”功能,这个顶好!应该是不用前置代理应该也可以连接网络,系统里集成了当前互联网上最好的匿名通信工具,有的我们普通人都没有听说过,总之,“ TAILS ”是TOR官网专门为安全隐匿性定制的集成大作,就是不会用啊!

      编程大哥,请求您考虑针对这个“ TAILS ”写一个教程,只能求您了:(

      删除
    6. 警察:你还偷了什么?
      嫌犯:没有了,就是那台电视机。
      警察:你还偷了什么?
      嫌犯:就是那台电视机,真的没有了!
      警察:¥#(%!#@*……
      嫌犯:惨叫……
      警察:我再问你:“你还偷了什么”?
      嫌犯:求你了不要再折磨我了,真的没有了。
      警察:¥#(%!#@*……
      嫌犯:惨叫后晕死过去……
      警察:我再问你:“你还偷了什么”?
      嫌犯:迷迷糊糊的说:还有很多轮胎。
      警察:说清楚什么轮胎,偷了多少!
      嫌犯:迷迷糊糊的说:很多火车轮胎……
      警察:妈的你敢骗我,火车那有轮胎!¥#(%!#@*
      嫌犯:惨叫后再次晕死过去……

      其实即使在体制内的双规也不乏逼供导致死亡的,谷歌一下“双规死亡”网上新闻一大堆。

      删除
    7. TO 5单元的网友
      既然你说得这么诚恳,而且 TAILS 也是 TOR 官网推荐过的。
      那俺就抽空写一篇吧

      删除
  54. “美狗是法制国家”

    如何解释?

    回复删除
  55. TO 安全
    关于美国的法制,补充一下你所说的。
    [url=https://en.wikipedia.org/wiki/Fifth_Amendment_to_the_United_States_Constitution]美国宪法第五修正案[/url],何人不得在任何刑事案件中[b]被迫自证其罪[/b]
    基于该修正案,美国警方不能强迫被告提供解密密码(除非警方能够充分证明加密内容有犯罪证据,但是证明这点很难)。
    而中共警方就没有这么客气了——直接动刑

    关于加密技巧
    为了应对中共的刑讯逼供,可以考虑使用 TrucCrypt 的隐藏加密卷。
    隐藏加密卷基于普通加密卷的保护,别人即使知道你有外层的加密卷,但是无法知道(也无法证明)你有内层的隐藏加密卷。

    回复删除
  56. to 54楼3单元的编程随想:
    貌似TrueCrypt的“隐藏卷”也不灵光鸟,那些个走狗只要用覆盖法就能知道隐藏卷的存在了,比如在外层卷搞一个批处理,用快速办法填满整个卷,接下来要发生的事无非两件:
    1. 当碰到隐藏卷的边上时,进程就会卡住,然后就穿裆鸟;
    2. 如果没有碰到边上,那隐藏卷的数据也会全部丢光光;
    看来这个TrueCrypt也真他妈的不靠谱啊!

    回复删除
    回复
    1. “貌似”?您测试过吗?

      删除
    2. TO Yao Chen
      你对隐藏卷的理解有误。

      设置隐藏卷之后,打开外层卷有两种方式

      方式1——只输入外层卷的口令
      这时候,对 TrueCrypt 而言,隐藏卷就像是不存在的。
      对外层卷空白存储空间的任何写操作,不会有问题。

      方式2——同时输入外层卷的口令和隐藏卷的口令
      这种情况下,TrueCrypt 才会在文件驱动层面,对隐藏卷进行写保护。

      当你受到胁迫的时候(比如被朝廷的走狗盘查),务必要记得用 方式2 打开

      方式1 主要用于你日常需要维护外层卷的数据。
      被胁迫的时候,千万不能用 方式2(否则隐藏卷就曝光了)

      删除
    3. 博主可能笔误。
      方式1,在你被胁迫的时候,就只输入外层卷的口令。(不会有任何提示)
      那些走狗就没有办法证明隐藏卷的存在。但确实可以覆盖。这真没有任何办法。“留得青山在,不怕这些数据收集不来”。

      方式2,是用来骗朋友、骗外行人的。日常维护的时候,不会误写入隐藏卷。
      被胁迫的时候不要用方式2。

      删除
  57. 上TOR官网研究了下TAILS,网页翻译看了看。果然是牛逼的东西,希望博主关注一下,最好弄个教程,比什么双虚拟机有优势哦。

    回复删除
    回复
    1. tails好,但是双虚拟机也有自己的优势。双虚拟机是保护自己的公共ip,更难泄露,几乎是不可能泄露。如果你有不可信的软件,如QQ,360,木马等,双虚拟机就更安全。tails如果内部被植入木马,你就惨了。不要信任任何人。。。。
      要更安全,可以两者配合起来。
      在天朝要掌握的互联网技术有两个,一个是翻墙,一个是匿名。

      删除
    2. 我想既是TOR官网的东西还是值得信赖的,从看tails的文档就能够感觉到开发团队对tails匿名性的要求比起TOR的浏览器套件高得多。比如擦写内存和变化MAC,虽然在隐藏IP的问题上,MAC其实是不可见的,开发者也有预防万一的措施。
      虽然tails有木马的可能性非常小,也不可以否认的说双虚拟机的强制代理机制对匿名而言是有优势的,虚拟机也不是没有被穿透的可能,如果暴露真实电脑的硬件信息那就被跨省了。现在的 电脑越来越强大了,多核CPU,8G甚至16G的内存,可以考虑虚拟机嵌套,先虚拟出一台电脑,在虚拟出来的电脑里再虚拟出博主介绍的双虚拟机。这样才叫几乎是不可能泄露。
      只是大概的看了tails的说明文档,还要翻译,很麻烦。博主计划写tails教程,也算是造福人民啦!

      删除
    3. 又看到大伙儿讨论 TAILS,看来俺的教材要抓紧啦。

      TO 2单元的网友
      关于虚拟机被穿透,俺在《[url=http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-0.html]如何防止黑客入侵[/url]》系列中,有提到过虚拟机被穿透的可能性。
      不过这种可能性非常小。

      因为虚拟机软件有好多种,每种虚拟机还有不同的版本,Guest OS 也有不同的类型和版本。
      如此一来,就有很多种组合。
      入侵者如果不清楚目标用户的组合情况,难以进行针对性的攻击。
      即使入侵者知道目标用户的组合情况,还需要虚拟机软件和 Guest OS 都存在可利用的漏洞,才有可能穿透成功。

      当然,嵌套虚拟机会更安全,但是大多数网友应该是不需要的。
      只有极少数特殊的人,才需要这种层次的防护。

      除了嵌套虚拟机,还可以考虑用多台电脑搞物理系统隔离(物理安全)。

      删除
    4. 看到很多朋友都非常的关心匿名和人身安全很高兴,看来党的秘密警察想抓人越来越困难了.其实我早知道TAILS的存在 了,只不过不懂那么高深的东西,经上面朋友的介绍还真希望博主搞出教程来,我现在就用个无界浏览,工具太简单了.没有发过什么敏感言论,估计还没被喝茶的资格.要是有这个TAILS上网的话,估计可以任意发言了!

      删除
    5. 试着装tails。其实就是一个做网关,一个来上网。
      道理跟博主的双虚拟机有点类似。但是tails的网关是linux的,应该比较稳定。
      我建议博主,利用一下它的网关,另一个虚拟机就是还用你之前的教的那种。这样配合比较稳定。
      因为用linux来上网,还是不方便的,起码我用TAILS的,一直乱码。建议一下博主,利用它的网关。

      删除
    6. TO 反攻大陆
      隐匿身份包括很多层面,TAILS 只是“网络层面”的防范,还需要留意其它层面。
      具体请看本系列的其它博文。

      TO foceback
      对于不懂技术的普通网友而言,用 linux 还是稍微有一点难度。
      但是俺觉得,搞得定 Linux 的网友,最好还是用 Linux,可以少掉很多流氓软件和恶意代码的骚扰。

      删除
    7. 希望博主研究一下TAILS
      它的GATEWAY很好用,稳定。要是能够加上VPNGATE更完美了。这样我们的主机就不用开VPNGATE了。
      我在WIN7安装的TOR,老是退出。
      但是WORKSTATION不会用,一直乱码。

      删除
    8. TO forceback
      多谢提建议 :)
      已经有好几个网友来信,建议俺普及 TAILS
      俺不久会发博文介绍。

      删除
  58. 我下载了tails,没有安装到U盘也没有刻盘,直接用虚拟机加载,不知道为什么就是不成功啊?

    回复删除
    回复
    1. 是虚拟机无法启动吗?
      请问有报啥错误信息吗?

      删除
  59. 翻译提示。信息说镜像错误,我重新下载了,挂上虚拟机可以进入系统了,但是不知道怎么设置上网,还用不了。看系统里面确实很多功能,不愧是TOR官网造的工具啊!

    回复删除
    回复
    1. 如果还不会用,那就等俺后续的教程吧。

      删除
  60. tails老早就试过,没有成功联网过,估计是大陆的网络TOR不能够直接链接的原因,即使添加有网桥连不上。我也想看看随想的教程,在这里支持一下。

    回复删除
    回复
    1. 在天朝,GFW 把大部分 TOR 网桥中继都屏蔽了。
      所以 TOR 直联比较难成功,需要依靠其它翻墙工具辅助 TOR 联网(双重代理)

      删除
  61. tor应该够用了,要求安全度的话才需这个TAILS,在大陆搞秘密颠覆政府的组织就该选择这个级别的保护。正在研究双虚拟机方案,想不到还有这样的匿名工具,真实安全无止境啊。

    回复删除
    回复
    1. 如果你能搞定双虚拟机,隐匿性应该够用了。
      当然,TAILS 有其优点,比如它基于 Linux 系统,更加轻量级。也可以降低网页挂马的风险。

      删除
  62. 能不能介绍host用VPN gate, guest OS翻墙,VPN 断了,guest OS就断了的办法。

    回复删除
    回复
    1. 可以在 Host OS 上运行 VPN+TOR
      然后 Guest OS 通过 TOR 联网。
      一旦 VPN 断线,TOR 也会断线。

      删除
  63. 代理软件是开源的或不是开元源的有什么区别?怎么区分呢?

    回复删除
  64. 请问:双虚拟机环境,虚拟机B除了用NAT和Host OS链接,是否也可以是Bridge模式呢?安全性上有没有区别?多谢!

    回复删除
  65. 感谢楼主的无私分享.
    按你的方法,除去双虚拟机外,单虚拟机+TOR+VPN应该是总最安全的.现在2014年7月,会不会有新的技术绕过它暴露我的真实IP吧?我天天用QQ批中国ZF.麻烦再确认一下.

    回复删除
    回复
    1. 你可能在作死:用QQ。而且可能还坑了你的好友。

      你的方法的确不能暴露你的IP。但是你将你的言论交给了党国(党国管理下的软件)。
      如果你在QQ上还有其他的好友——他们都可以挨个被调查,或者你的QQ在注册时提供了你的个人联系方式(手机之类),那么你觉得后果如何?
      你需要保证你的QQ帐号从注册就是通过这种匿名的方式进行的,并且没有牵连到你的其他联系方式。

      删除
    2. 好的。谢谢。

      删除
  66. 如果你被刑讯,那么交出密码显然是将你放入了更加不利的情况。

    而且如果没有密码——前提是一个不错的密码——那么理想情况下数据是无法解密的。你不必说我知道密码。你可以说我把密码销毁了之类。总之,如果你在警察眼里完全没有了价值,那么就应该不至于这样了。

    补充随想那个:你可以在外层卷里放些看上去敏感的东西——在天朝,比如黄片(持有黄片原则上是不违法的,只有传播违法,但是因为持有而被治安处罚的也有。不过,这些最后还是公安亏理的多)。但是即使这样,也不要轻易给出外层密码,要让JC知道,你确实很不情愿地交出了。

    回复删除
  67. 继续补充:

    美国还有个规矩,好象还是比较新的判例,就是说如果知道你能解密——比如你拥有密码,那么法庭可以命令你交出。
    所以对我来说,底线是一问三不知:不是我加密的,我不知道密码。硬盘对我来说是砖头。

    回复删除
  68. 请问双虚拟机中的装代理软件的虚拟机,有没有专门用来做代理,没有其他功能的操作系统?

    回复删除
  69. 发自内心的,感谢博主,无私分享自己的技术,打字,截图,构思,真是要花大量时间却没有丝毫回报.我还是有2个问题:A.我安装了Vidalia Bridge Bundle但安装后是乱码虽然安装成功。也用其它电脑2台电脑测试过,同样乱码问题。我又试过TOR网站其它两软件非常成功无乱码.请问:如何解决乱码问题?B.我看到右边有许多大家的发言,如何发言?我很想参与.

    回复删除
  70. 不好意思,有点表述错了,应该是问:就算公网IP被记录在了国产软件的服务器上,那我写评论这件事,走狗们又是如何知道的呢?毕竟就算走狗入侵google拿到了我的发表评论的IP地址,也是TOR等代理软件的IP呀。

    回复删除
  71. 随想君,如果我使用虚拟机A+vpn+tor(代理软件来自HOST)进行敏感操作的同时,在vmware中同时运行着另一台桥接状态的虚拟机B(装有危险的国产软件),但虚拟机B仅用于日常工作等,并不进行任何敏感操作,那么会有较大地暴露的风险吗?如果有的话,能不能告诉我风险在哪里,谢谢啦!

    回复删除
  72. 吃评论太狠了2014年8月17日 23:40:00

    你发的内容经流氓软件另发一份到党国服务器。

    回复删除
  73. 看到题目觉得好奇就看了看
    犯得着这么麻烦么...
    直接用vpn或者Shadowsocks之类的东西从传输层或者网络层或者链路层控制一下数据包的流向就结了
    用openvpn很容易做到

    回复删除
  74. 对了,就怕你自己电脑上有病毒木马,监视你的一举一动,你的敏感操作被纪录下来后传到木马控制者的服务器上,比如360、QQ这类带有特定服务的木马软件,都是有政府监控的模块的,360借口扫病毒不断扫描磁盘文件,遇有中意的文件便传到服务器上分析,而QQ软件可随时在上级指令下操控用户网络,比如强制断开用户网络连接,迫使VPN或代理断线,然后连网突击登陆记录用户的真实IP等!

    回复删除
  75. 博主你好,今天在网上看到有个网站盗用了你这篇文章。
    http://www.atgfw.org/2015/04/5.html

    回复删除
    回复
    1. 人家都注明了图片出处了。。。

      删除
    2. Ghost Assassin 是博主的wife
      不要得罪Ghost Assassin
      也不要得罪博主
      否则他们加起上来...............

      删除
    3. 这是人家GA帮忙转载的,怎么算是盗用?
      要不,请博主将其所属文章给予GPL版权?

      删除
  76. 看来楼主 发个言 还得小心翼翼,防这防那,这样的生活不舒坦啊

    回复删除
  77. 看来楼主 发个言 还得小心翼翼,防这防那,这样的生活不舒坦啊

    回复删除
  78. tor默认禁用java,在虚拟机里把他开启没事吧?

    回复删除
  79. 随想,你好,我用单virtualbox虚拟机翻墙上网,网卡是NAT模式,所以软件(chrome,vpn)都在虚拟机里,HOST机里没有做任何相关上网设置,只是安装了virtualbox而已,但虚拟机经常在桌面右下角网卡图标位置显示一个小的黄叹号,鼠标放在那里,会提示“无internet”访问,但可以正常上网,这是不是表示已经被“相关部门”给做手脚了?

    回复删除
  80. 定期回退快照..是每1次也要..別看輕中共..

    回复删除