2014年8月30日

如何保护隐私[9]:如何限制桌面软件的流氓行为?

  在本系列的前一篇,介绍了“流氓的桌面软件有哪些替代品”。今天主要介绍一下,如何对付那些“【缺乏替代品】的流氓软件”(比如:QQ、迅雷)。
  本文会逐一介绍5种不同的方案,供大伙儿参考。在本文末尾会总结每种方案分别适用哪些情况。


★方案1:用流氓软件的【Web 版本】进行替代


◇概述


  某些流氓软件的开发商,除了开发桌面客户端版本,有时候也会提供“Web 版本”。在这种情况下,咱们就可以拿“Web 版本”来取代桌面版本。

◇举例


  比如:疼逊公司提供了一个 Web QQ。那么你就可以用 Web QQ 来替代桌面版的 QQ;
  比如:很多网盘提供商同时提供网盘的“Web 操作界面”和“桌面客户端”。那么你就可以:只用 Web 界面操作网盘,不安装桌面客户端。

◇不同“Web 应用”的安全性等级


  基于 Web 的应用软件,有好几种不同的类型,在隐私方面的安全性也各不相同。下面逐一介绍。在下面的介绍中,会提及“浏览器扩展”和“浏览器插件”。如果你搞不清楚这两者的差别,先看之前的“这篇博文”,其中有一段文字是“◇插件和扩展的区别”。

  纯 Web
  所谓的“纯 Web”,就是说只用到 HTML、JavaScript脚本、CSS 样式。除此之外,没有用到其它其它东西。
  这种形式的 Web 应用是最安全的。对于这种形式,JS 脚本运行在浏览器内置的脚本沙箱中,它对文件系统的访问是受限的。换句话说,【无法】随意操作电脑本地的文件系统。

  使用了“扩展/extension”技术
  浏览器扩展能干的事情,比“纯 Web”更多。多出来的功能主要是:能够操作本地的文件系统。假设你安装了一个不怀好意的扩展,理论上它是可以读取你本地的某些敏感文件并通过 Web 方式(HTTP方式)发送出去。
  提醒一下:并不是所有的浏览器都支持“扩展”机制。

  使用了“插件/plugin”技术
  “插件”比“扩展”牛逼的地方在于,插件是本地代码(也叫“原生代码”)。也就是说,普通客户端软件能干的事情,插件都能干。所以,插件的危险性更大,基本上等同于客户端软件。
  比如前几天曝光的“支付宝偷偷监控网络流量”。那个监控你网络流量的进程,就是在安装支付宝控件之后,偷偷带进去的。而“支付宝控件”本质上就是“浏览器插件”。

  综上所述,如果你企图用“Web 版本”来替代“桌面版本”,至少先要确保“Web 版本”没有使用“浏览器插件”技术。用到了“插件”的 Web 应用,其隐私威胁跟桌面客户端类似——也就没有必要替代了。

◇优点


  主要优点是:操作简单,无需进行各种额外的配置,无需安装额外的桌面软件。

◇缺点


  此招数的缺点有两个:
  缺点1
  使用了 Web 版本之后,虽然可以避免桌面客户端偷窥你的本地文件,但是你通过 Web 端产生的内容还是会被 Web 服务器收集到。
  比如你用了 Web QQ 之后,虽然它无法偷窥你的本地文件,但是腾讯服务器依然可以偷窥你的聊天内容。

  缺点2
  通常,Web 版本的功能不如桌面版本的功能那么丰富。
  比如“Web QQ”的功能比“桌面 QQ”的功能少很多。


★方案2:使用【网络防火墙】限制联网


◇概述


  如果某个流氓软件的【基本功能】与网络无关,那么你可以采用网络防火墙限制该软件的网络行为。

◇举例


  比如:你需要用国产的播放器来播放【本地的】视频文件和音乐文件。并且你既不需要“自动同步字幕”,也不需要“自动同步歌词”之类的功能。在这种情况下,该软件就完全没有理由访问网络。那么你就可以通过配置网络防火墙,让该软件无法联网。

◇网络防火墙的局限性


  局限性1
  某些流氓软件需要以管理员权限安装。在这种情况下,流氓软件也就获得了管理员权限。在“管理员权限”下,几乎可以进行任何软件层面操作。从理论上讲,可以利用管理员权限进行某些操作,来绕过网络防火墙的监控。

  局限性2
  某些比较狡猾的流氓软件,自己的主程序不会直接联网,而是通过创建一个临时的 exe 文件并启动该 exe(子进程),让子进程完成敏感的联网操作。以此来骗过网络防火墙。对这类软件,即使你禁止该软件的主程序联网,它还是能通过启动子进程的方式,把某些敏感的资料偷偷发送出去。

◇优点


  用此招数,你可以直接使用流氓软件的桌面版本。相比“方案1”的优势在于——能保留软件的全部功能。
  另外,此招数可以跟下面要介绍的“方案3”搭配组合。

◇缺点


  此招数的缺点包括:
  缺点1
  如果该流氓软件的基本功能依赖于网络(比如:聊天工具、下载工具),就没法用这招。

  缺点2
  网络防火墙的限制有可能被绕过(参见上述提到的两个局限性)


★方案3:用流氓软件的【绿色版本】进行替代


◇概述


  某些流氓软件可以制作成“绿色版本”(俗称“绿化”)。绿化之后的软件,无需安装,而且也无需管理员权限就可以运行。因此,你可以创建一个【低权限】的操作系统用户,以这个用户的身份来运行该流氓软件。关于 Windows 的“用户组、用户权限”等概念的更多介绍,请看之前的“这篇博文”。
  另外,从 WinXP 开始,Windows 内置了“快速用户切换”(洋文叫:Fast User Switching)的功能。你可以利用此功能在不同的用户之前切换。不想使用“用户切换”的同学,也可以在同一个桌面上运行“隶属于不同用户的进程”(具体做法,上面那篇博文也有提到)。

◇需要结合“文件系统访问控制(ACL)”


  和这个招数搭配的措施是:你要适当地配置文件系统的访问控制权限。比如你日常操作电脑的是“A用户”,用来运行流氓软件的低权限用户是“B用户”。那么你需要设置那些存放敏感文件的目录,让“B用户”【无法读写】这些目录。至于如何设置目录的 ACL,稍微 Google 一下就能查到教程。
  提醒一下:
  Windows 支持的文件系统主要有两类:NTFS 和 FAT 系列(FAT12、FAT16、FAT32)。“FAT 系列”【不支持】访问控制权限。

◇举例


  比如“迅雷”是可以制作成绿色版本的。俺分别在它的5.8版本和7.2版本试验过。

◇优点


  用此招数,你可以直接使用流氓软件的桌面版本。相比“方案1”的优势在于——能保留软件的全部功能。
  另外,此招数可以跟“方案2”搭配组合。

◇缺点


  此招数的缺点包括:
  缺点1
  如果某个流氓软件无法制作绿色版本,这招就失效了。

  缺点2
  操作相对繁琐(你需要先制作绿色版本,然后还需要创建专门的用户,最后还要设置文件系统的 ACL)。


★方案4:使用【沙箱软件】进行隔离


◇概述


  有一类安全工具叫做“沙箱”(有时也称“沙盒”)。沙箱软件可以创建出一个独立的运行环境,以实现【进程级别】的隔离。
  所谓“进程级别的隔离”就是说:你可以在沙箱中运行某个进程,沙箱软件负责把该进程跟系统的其它部分隔离开来。即使该进程图谋不轨,想要进行某些危险操作,这些操作也被限制在沙箱之内。
  所以,咱们可以利用“沙箱软件”来运行那些流氓软件。

◇举例


  目前,【国外】比较有名的沙箱软件是 Sandboxie。如果你担心网页挂马,可以让浏览器运行在 Sandboxie 的沙箱之内。

◇沙箱的局限性


  局限性1
  沙箱软件依赖于操作系统本身的一些机制(比如系统的 hook 机制)。如果操作系统本身出现一些安全漏洞,可能会导致某些流氓软件突破沙箱的隔离。
  另外,如果沙箱软件本身考虑不周到,也会导致隔离环境出现漏洞,可能被流氓软件用来突破沙箱。

  局限性2
  有些沙箱软件只能对磁盘操作进行隔离,但是【无法】对网络操作进行隔离(无法禁止流氓软件联网)。
  如果你需要隔离网络操作,但是你用的沙箱又没有此功能,那么你可以考虑把此招数跟“方案2”搭配。

◇优点


  用此招数,你可以直接使用流氓软件的桌面版本。相比“方案1”的优势在于——能保留软件的全部功能。
  不管流氓软件是否能制作绿色版本,都可以使用此招数。所以此招数比“方案3”更灵活。

◇缺点


  主要缺点有如下几个:
  缺点1
  某些软件(尤其是比较底层的软件)运行在沙箱中会出现兼容性问题。

  缺点2
  由于前面提到的“沙箱的局限性”,会导致隔离不彻底。

  缺点3
  多数沙箱软件通常无法跨系统(比如前面提到的 Sandboxie 是运行在 Windows 上,所以它只能用来隔离 Windows 软件)。
  如果你对跨平台的需求不明显,这个缺点基本可以忽略。


★方案5:使用【操作系统虚拟机】进行隔离


◇概述


  所谓的“操作系统虚拟机”(为了打字省力,以下简称“VM”),就是用专门的软件在你现有的操作系统内部再虚拟出若干个操作系统。在这种情况下,你原有的操作系统称为“物理系统”或“Host OS”;那些虚拟出来的系统称为“虚拟系统”或“Guest OS”。
  有了 VM 之后,你就可以创建出一个或多个 Guest OS,在那上面运行流氓软件。由于 Guest OS 与 Host OS 是彻底隔离的,你完全不用担心 Guest OS 里面的进程偷窥 Host OS 的文件系统。
  所谓的“彻底隔离”,俺补充说明一下:
  因为 Guest OS 运行于 Host OS 之上,Host OS 是可以看到 Guest OS 里面的东西;反之则【不行】。如果有多个 Guest OS,互相之间看不到。
  关于 VM 的更多介绍,请参见《扫盲操作系统虚拟机》系列教程。

◇举例


  至少在10年前,俺就以虚拟系统(Guest OS)作为自己日常的使用系统。俺的 Host OS 除了装一个虚拟机软件,其它软件几乎都【不】装。需要用到的软件都装在 Guest OS 里面。而且俺的笔记本电脑里面装了 N 多的虚拟机,分别派不同的用处。比如:
一个专门用于“编程随想”这个身份
一个专门用于公司的办公环境(写文档、收发邮件)
一个专门用于公司的开发环境(留个开环境帮同事解决疑难编程问题)
一个专门用于业余时间的开发环境(业余时写代码)
一个专门用于业余时间的上网环境(业余时上网)
(还有很多,不一一列举)
  搞这么多虚拟机的好处在于,把自己的敏感数据分散开——即便某个虚拟系统被入侵,其它虚拟系统【不受】影响。
  而且 VM 软件都会提供【快照功能】——这个功能是 VM 的精华。比如每次刚装好系统,或者刚升级好系统,俺都会做一个快照。用了几天之后,就回退到这个快照。就算这几天当中被恶意软件(病毒/木马/流氓软件)污染了系统,只要回退到快照,虚拟系统又纯洁如初 :)
  前几天有读者问俺用的是哪个系统清理工具。俺回答说:有了 VM 软件,根本【无需】系统清理工具。为啥捏?因为每次回退快照,系统垃圾自动就没了(等同于一次彻底的清理)。

◇优点


  VM 的优点很多,至少包括如下:
  优点1
  最好的兼容性。
  前面提到的“方案3”和“方案4”,都可能会导致一些兼容性的问题。而 VM 完全没有。

  优点2
  最好的隔离性(关于这点,下面俺单独开了一个章节详述)

  优点3
  VM 的快照功能可以帮你完成很多额外的工作(参见俺刚才的举例)。

  优点4
  彻底实现“跨平台”。
  比如你可以用 Windows 做 Host OS,然后在其中虚拟出一个 Linux 或 Mac 的 Guest OS;反之亦然。而沙箱软件做不到这点。

◇缺点


  俺个人认为:对于那些安全要求高的网友,VM 的方案是最佳方案。此方案有如下两个不太明显的缺点:
  缺点1
  如果要使用,你的硬件配置不能太低。
  如今电脑硬件的配置已经越来越好(动不动就是好几 GB 的内存,动不动就 4核/8核),这个缺点基本可以忽略。

  缺点2
  要花点时间学习如何使用 VM。
  不过这个缺点也好办——俺在2年前(2012)就写了一个《扫盲操作系统虚拟机》的系列教程。不会用 VM 的同学可以先去看这个教程。


★为啥“OS虚拟机”的隔离性比“沙箱”更好?


  俺在博客上写了不少操作系统虚拟机的博文。但是一直没有介绍过“沙箱软件”。曾经有几个读者在留言中问道:为啥从来没普及过沙箱?今天借着这个机会说一下。
  前面俺提到了 VM 的各种优点。这里重点想说其中一点——隔离性。为啥捏?如果你对安全的要求比较高,“隔离性”是关键。而“VM”的隔离性远远好于“沙箱”。具体的分析如下:

◇关于隔离的“维度”


  不论是 VM 还是沙箱,说白了都是为了创造出一个隔离的软件环境。这时候要考虑的维度有很多,至少包括:文件系统、内存、网络、外设(比如 USB 口)。
  主流的 VM 软件可以支持上述【所有的】维度;而大部分沙箱软件只能做到文件系统和内存的隔离。有些沙箱虽然也支持网络隔离,但是其网络隔离的功能不如 VM 那么丰富(主流的 VM 软件通常支持至少3种以上的虚拟网卡模式)。

◇关于操作系统本身的漏洞


  在使用“沙箱”的情况下,沙箱软件和流氓软件都运行在同一个操作系统中。如果这个操作系统出现某些安全漏洞,【可能会】导致流氓软件突破沙箱的隔离边界。
  相对而言,使用 VM 的情况下,同时存在两个操作系统。VM 软件本身是运行在 Host OS 之上,而流氓软件运行在 Guest OS 之上。由于 VM 本身并不依赖 Guest OS。所以 Guest OS 出现安全漏洞,【不太可能】导致隔离边界被突破。
  有些爱思考的同学会问了:如果 Host OS 出现安全漏洞,是否有可能导致隔离边界被突破。这种可能性是有的,但是操作的难度很大。为啥捏?因为流氓软件运行在 Guest OS 之内,它根本看不到 Host OS。换句话说,流氓软件根本就无法知道 Host OS 是啥类型的。连操作系统的类型都不知道,如何去利用操作系统的漏洞?


★总结


  在本文的结尾,稍微做一下总结发言,说一下每种招数适用的情况。

◇方案1——用“Web 版本”替代


  前提:对应的流氓软件提供 Web 版本
  本方案无需额外的配置,也无需再安装其它桌面软件。所以适合那些非常菜鸟的网友,或者是那些非常懒的网友。另外,如果你只是想临时用一下某个流氓软件,也可以用这个招数。

◇方案2——用“网络防火墙”限制联网


  前提:对应的流氓软件的【基本功能】与网络无关(比如:输入法、播放本地视频、播放本地音乐)
  除了需要配置网络防火墙,无需额外安装其它软件。适合那些比较菜鸟的同学或者是比较懒的同学。

◇方案3——用“绿色版本”替代


  前提:对应的流氓软件能够“绿化”
  需要自己手工制作绿色版本,而且还需要配置额外的操作系统用户和文件系统的访问控制权限。所以此招数适合于具有一定折腾能力的网友。而且电脑硬件又很差,用不了虚拟机方案。

◇方案4——用“沙箱软件”隔离


  前提:流氓软件需要能跟沙箱软件兼容。
  如果你电脑硬件太差,用不了虚拟机。而且你又搞不定绿色版本(比如流氓软件不支持“绿化”,或者你不懂得如何“绿化”),那么你可以用此方案。

◇方案5——用“操作系统虚拟机”隔离


  前提:无任何限制。
  此方案堪称终极解决方案,尤其适合于对安全要求比较高的同学。此方案需要有一定的折腾能力(不需很高),而且电脑的硬件配置至少是中等水平。

◇所有这五种方案的局限性


  不论你用的是哪个方案。如果你想使用某个流氓软件,并且该流氓软件的基本功能是依赖于网络的,那么,这款流氓软件就有可能收集到你的某些隐私并发送给厂商的服务器。即使你用了最安全的“虚拟机隔离”,顶多也只是降低了泄漏的信息量而已。
  举例来说:你在虚拟机里面运行 QQ,可以阻止 QQ 偷偷扫盲你的 Host OS 的磁盘。但是,你的所有聊天内容,腾讯的服务器上都有记录。所以,最安全的是:既不用流氓公司的软件,也不用流氓公司的网络服务


回到本系列的目录

255 条评论:

  1. goagent还是回复不了.支持再看

    回复删除
    回复
    1. TO 灰·滅
      前几天也有读者反馈说 GoAgent 无法留言。但是有另一个读者回复说用 GoAgent 翻墙后可以留言。
      俺猜测:或许跟 GoAgent 无关,会不会是浏览器方面的问题?(比如某些浏览器扩展禁止了 JS 脚本)

      另,
      因为俺出于安全考虑,从来不用 GAE 翻墙(包括 GoAgent)。所以俺没法在自己的电脑中进行验证。

      删除
    2. 我的goagent也无法留言,之前还是用这个Chrome浏览器(隐身模式),也能留言,现在不行了。我的扩展程序有AdBlock(隐身模式可用)、Emoticonplus表情扩展、Proxy SwitchySharp(隐身模式可用)、眼不见心不烦(新浪微博)

      删除
    3. 续上测试去除AdBlock都不能回复

      删除
  2. 随想君 如何禁止html5 canvas指纹跟踪?Chrome or firefox

    回复删除
    回复
    1. TO 2楼的网友
      多谢提建议 :)
      刚才俺在本系列前面的一篇博文《[url=http://program-think.blogspot.com/2014/01/privacy-protection-6.html]如何防范“浏览器指纹”?[/url]》中补充了一段:
      【◇关于“HTML5 的 Canvas 指纹”】
      专门介绍这个问题及防范措施。

      删除
  3. 哈哈 ,前排,专业占楼,支持编程君,先顶后看!

    回复删除
  4. 像博主那样N多个虚拟系统要是同时开两个以上那不是很容易卡死?之前折腾过win7虚拟机(用来装QQ,装迅雷),分配2G内存,CPU是i5二代,单单在VMWare中开这个虚拟机,就慢到死,有时候竟然会卡死,只能强制关闭重启,倒是Linux没有这种问题。

    回复删除
    回复
    1. 内存搞到 32G,用256G的SSD硬盘
      我就是这样做的

      删除
    2. 别说开两个虚拟系统,开一个打开多个网页就卡了(主要是xp、win7),想切换网页都难。博主电脑的配置应该七八千至上万块的牛逼吧!

      删除
    3. TO Curtis Wilbur
      有可能你对虚拟机的性能优化不熟悉。
      说说俺的情况。
      6GB 内存,CPU 4核。
      Host OS 是 Linux,同时运行 6 个 VM(其中有 Windows 也有 Linux),很流畅。
      运行第7个 VM 开始有点卡,但还能忍受。
      当然啦,因为俺不打游戏,也没有太多“运算密集型”的应用。如果有的话,或许会受点影响。

      要流畅跑多个 VM,一方面是硬件配置(关键要有多核,并且 CPU 一定要支持虚拟化指令),另一方面是系统优化。
      说到系统优化:
      比如 Windows 默认装好之后,有一大堆 Auto Run 的 Service,把那些没用的都禁掉。
      另外,因为俺的 Host OS 是 Linux,可以裁剪到极致。确保 Host OS 没有无谓的资源浪费。

      删除
    4. 活着已经不这易,用个电脑还要如此麻烦,不容易啊。
      普通人最好还是不要留什么隐私放在电脑上,总有失算的时候。

      删除
    5. 这评论注定被吃 等恢复2014年8月31日 07:55:00

      大兲朝已经把人升级到食品检验专家、化学家、水净化专家、空气净化专家。为了更好活着,再成为网络安全专家又何妨。

      删除
    6. 4单元:
      本人是一台纯净电脑,连JAVA都没装,另一台是日常上网用的,并且装上影子系统,也不是太麻烦.电脑都是I7,最低是8G内存,大的16G内存,可惜就是不会VM,不然事半功倍

      删除
    7. 我的物理机I3处理器 2G内存 虚拟机装的win7 32位 分配了1G内存 虚拟机内运行eclipse vs2010 等开发环境轻松自如 更别说QQ那些了 虚拟机是需要优化的 最好用最新版本的虚拟机 优化好了十分好用

      删除
    8. 主機最好用linux 用windows不是服務器版的話再高的配置都會卡

      删除
    9. 最牛的是bsd+qemu 2G的內存大把可以玩虛擬機 哪用得了恁多

      删除
    10. 楼上太关注内存因素了,虚拟机性能的瓶颈其实在硬盘。硬盘性能上不去或者该开的功能没开,其他的配置再高也没用。举个例子,本人机子是集成板+双核CPU+4G内存+500G硬盘,使用win7实体机在没开AHCI模式时,传输率只有25M左右,这样的速度上虚拟机简直是找累,开了AHCI模式,速度能达到50M,用vmware勉强可以用win7虚拟机。使用ubuntu实体机能自动使用AHCI模式,用virtualbox用win7虚拟机就很舒服了,全屏下跟win7实体机差别不大。可见,影响虚拟机性能的瓶颈在硬盘,实体机系统选择和虚拟机软件选择次之。

      删除
    11. ssd硬盘就是牛,速度能上到n百M每秒

      删除
    12. TO 9单元的网友
      关于 AHCI 模式
      除非是很老的硬盘(不支持 AHCI),否则的话显然要开启 AHCI 模式。
      不过对于同时运行【多个】VM,更关键的瓶颈是 CPU。所以俺在 3单元 特别强调了 CPU 的两个注意点。

      只有当你经常运行“磁盘IO密集型应用”,硬盘才会成为瓶颈。
      对于大部分网友日常的应用,通常都【不是】“磁盘IO密集型应用”。
      另外,当内存足够大的时候,连“虚拟内存”都不需要。进一步降低硬盘的 IO

      删除
    13. TO 水火罐爹
      俺博客上有一个《[url=http://program-think.blogspot.com/2012/10/system-vm-0.html]扫盲操作系统虚拟机[/url]》的教程,你可以参考一下

      删除
    14. TO 7单元的网友
      其实 Windows 的桌面版本和服务器版本,内核是一样的,只是有些配置不同,还有默认开启的 Service 不同。
      比较熟悉 Windows 系统的话,桌面版本也可以优化得很好。
      很多年前,俺曾经在桌面版本的 WinXP 上同时运行多个 VM,同样很流畅。

      删除
    15. ahci模式要先在bios中开启 多数主板默认没有开启

      删除
    16. to 编程随想八月 31, 2014 5楼3单元
      -----因为俺的 Host OS 是 Linux
      博主你说的太多,我记得用linux不到百分之一吧,有大大减少了你的交集
      又是一个指纹因子呀
      还有电脑配置说那么详细做什么,要帮助大家可以直接转载一个 优化的文章就可以啦,不要拿自己做 例子。
      ---------------------------------------------
      http://blog.jobbole.com/75854/ 黑客落网记:FBI如何抓捕Anonymous核心成员

      删除
    17. TO 15单元
      多谢补充 :)
      不过俺这几年买过几次品牌机(笔记本),主板默认都开启了 AHCI 模式了。

      删除
    18. TO 16单元的网友
      多谢对俺的关心 :)
      多谢分享相关的文章 :)
      俺会留意你提到的问题。

      在 IT 行业中,Linux 的用户还是不少的。所以这个指纹的信息量不是太大。
      至于电脑配置,俺只说了“存储”与“CPU核心数”。这个信息量也不大。而且电脑配置的变化还是比较快的(以此来定位,比较难)

      在你分享那篇文章中,“匿名黑客组织”的哈蒙德之所以被 FBI 定位,有一个关键性信息是:他在网上匿名聊天时,提到过“自己曾在2004年的共和党全国代表大会期间被捕”。这句话具有足够高的“独特性”(信息量足够大),这是导致他暴露的关键性败笔。

      删除
  5. To 编程随想
    “俺的 Host OS 除了装一个虚拟机软件,其它软件几乎都【不】装。”
    几乎都不装,那我来脑洞大开地琢磨一下,还要装点啥:
    首先呢,TrueCrypt是必备的吧,最起码“编程随想”这个身份的虚拟机必须要藏好了,避免万一万一被抓之后,网警叔叔取证太方便:)
    其次呢,为了避免在自己在刑讯逼供要求说出口令的时候自己意志不坚定,那么TrueCrypt的密钥文件除了装在手机里的某几首歌曲之外,我觉得,还应该要有一个随机生成的密钥文件放在电脑里,以便网警叔叔冲进来的一瞬间,把它用Eraser等软件擦上35次:)
    最后呢,我估计想您这样的“普通网民”一定有比我想得更好的方案,如果方便的话,请赐教

    话说还是有点担心博主:
    现在博主博客这么火,万一哪天你身边的人看了,会不会就暴露了呢?
    同事甲心理活动如下:
    那天瞄到Boss电脑上除了一个Vmware和一个TC以外,居然连个浏览器都没有!闹了半天这小子就是编程随想啊!XD

    回复删除
    回复
    1. TO 骚达子
      你想得周到 :)
      TC 当然还是要的,另外,各种驱动当然也是要的。

      俺之所以说“其它软件几乎都【不】装”,只是想强调 Host OS 要尽量干净,尽量少装其它不需要的软件。
      这样可以尽量降低 Host OS 出现安全漏洞的概率。

      删除
    2. 随想君怎么看虚拟机逃逸漏洞....(据说目前VMWare和微软的虚拟机都有此漏洞....)

      删除
    3. 编程兄应该准备点物理销毁数据的装置,而且不要让旁人偷窥到你的一举一动哦。

      删除
    4. 对了,在桌面上建几个假图标,瞒天过海。

      删除
    5. TO Xiaolan
      关于“虚拟机逃逸漏洞”,简要说几点,供参考:
      1、
      “虚拟机逃逸漏洞”已经不是理论上的东西,现实中已经出现了
      2、
      绝大多数情况下,“虚拟机逃逸漏洞”都跟具体的虚拟机产品有关。
      换句话说:“虚拟机逃逸漏洞”通常无法做到“跨 VM 产品”。比如针对 VMware 漏洞的攻击代码,在 VirtualBox 上就没效果;反之亦然。
      3、
      “虚拟机逃逸漏洞”不但跟 VM 产品有关,而且跟具体的版本有关。
      举例:
      比如 CVE-2009-1244 这个漏洞,对于 VMware Workstation 只有在 6.5.1 之前的版本才存在。对 VMware Player 自由在 2.5.1 之前的版本才存在
      4、
      有些漏洞还跟 Host OS 有关。
      比如某些漏洞只存在于 Windows 作为 Host OS 的情况下。
      5、总结
      综上所述,俺认为普通的网友不用太担心“虚拟机逃逸漏洞”。
      因为普通网民面对的是“大众型”的入侵。这种入侵的特点是“全面撒网,逮到谁算谁”。
      由于“虚拟机逃逸漏洞”需要的约束条件太多,“大众型”的入侵不太可能去利用这类漏洞(覆盖面太小了,不合算)。

      但是,
      如果某个人是“高价值目标”,并且此人使用了虚拟机作为安全措施。
      那么,针对此人的入侵者,有可能会去尝试“虚拟机逃逸漏洞”。
      这种针对高价值目标的攻击,俺称为“定点攻击”。
      (普通网友无需担心“定点攻击”)

      删除
    6. TO freedom fighter
      多谢对俺的关心 :)
      有空的话,俺也发篇博文,聊聊“物理销毁数据”的话题

      删除
    7. 据说火烧是比较有效而且广泛的方式,上次在一个杂志上看到过。还真有人做这种评测……
      另外不是有用于光盘的碎纸机吗,似乎很厉害

      删除
    8. 销毁数据是有专业设备的,可惜没发现有廉价便携的小型数据销毁设备,无论磁介质、光学介质、半导体介质,没用合适的方法销毁是可以将数据恢复的。

      删除
  6. 刚刚发的居然消失了!不知道随想君看到没有,看到了就没事啦,没有的话我就再发一下:(

    回复删除
    回复
    1. TO 骚达子
      刚才恢复了一批被 Google 误判为垃圾广告的留言。
      你在6楼的留言,大概就是被误判的那条。

      删除
  7. 最近用安卓的openvpn gatevpn配置不行了一连接就断线一直在重新连接=网络~断线这个状态,gfw加强了还有https谷歌没有被墙ip就404了dns是114的,http就可以,幸好我当初多学了点

    回复删除
    回复
    1. TO 8楼网友
      最近2个月,GFW 加强了对 VPNgate 的检测和干扰。
      俺在去年的《翻墙快报》中曾经提到了 GFW 可能会进行一些“基于特征的检测”。
      近期 GFW 对 VPNgate 的干扰有可能是利用了“基于特征的检测”

      不过你如果多尝试一些 Server,还是能找到稳定可用的。
      至少俺昨天还能找到 :)

      删除
    2. 感谢 博主 编程随想
      我学会用 VPNgate 啦,好快!
      虽然以前就会用,但是不会找快的代理,看了博主的文章会了
      下载最快到 500KBps!!!!!

      删除
    3. 对 VPNgate的server list是故意混入了一些无辜IP坐等GFW犯大错

      删除
    4. VPNgate在设计时就考虑到了对GFW和审查者的反制,GFW和审查者阻止中国网民连接“真正的互联网”,VPNgate拿它们做实验,毕竟研究耗费了无数的民脂民膏砌起来的“网络柏林墙”是个很有价值的挑战。
      无责任猜想:将来如果兲朝实行了网站白名单,或者干脆直接隔离,到那时人家研究的可能就不是翻墙了,而是研究用类似震网之类的病毒攻击GFW,毕竟这个耗费无数民脂民膏砌起来的“网络柏林墙”是个很好玩的研究对象,对那些技术大牛来说能够攻破GFW是个多么能炫耀技术的事情啊。

      删除
    5. 我看了一些技术资料,目前VPNGATE就是把墙当成玩具天天变着法子的调戏。不知道这几个月他们又会出什么手段继续调戏下去。

      删除
    6. VPN Gate提供两种协议
      1、OpenVPN
      2、HTTPS VPN
      OpenVPN的特征已经被发现,可以进行干扰了

      删除
    7. 刚才发现https协议连接也有点问题,主要表现在连接服务器的时候一开始能显示连上,但是连上以后很快断掉,怀疑是中间人攻击。果断干掉了系统中CNNIC一票垃机构的证书,可能是运气好,正常了。。。。

      删除
    8. to 3单元:官网上的一段话:Using the VPN Server List of VPN Gate Service as the IP Blocking List of your country's Censorship Firewall is prohibited by us.
      The VPN Server List sometimes contains wrong IP addresses.
      If you enter the IP address list into your Censorship Firewall, unexpected accidents will occur on the firewall.
      Therefore you must not use the VPN Server List for managing your Censorship Firewall's IP blocking list.
      的确是设计人员故意混入错误IP,使GFW无法自动制作IP黑名单

      删除
  8. esxi直通显卡、usb,所有独立pc能干的事情,虚拟机都能干。

    回复删除
  9. 好前啊。。辛苦。。2年老朋友

    回复删除
  10. Norton 360 怎么样?以及一些杀毒软件的注册机是否有 后门?我指的是2014版Norton 产品的注册机.还有adobe公司的软件会不会有后门?还有就是我测试FDM下载文件速度不如IDM,测试为反墙下载国外往盘中的TS版电影

    回复删除
    回复
    1. TO TS电影大全
      Norton 的杀毒,显然比国产的要靠谱一些。
      至于注册机,因为有很多种,很难一概而论地说,是否有后门。
      如果你不放心注册机,可以用那些国外的免费杀毒软件
      (本系列前一篇博文,推荐了好几款国外免费的杀毒软件,而且都很知名)

      关于 FDM 和 IDM 的对比
      俺本人平时很少下载大东西。下载小东西(100MB以内)都是直接用浏览器的“另存为”。
      而且俺没有用过 IDM,所以关于这两款的对比,俺不太清楚。

      删除
    2. 还360那! 卧槽。 跟网狗和国安私通,用360是最合适不过了

      删除
    3. TO 2单元的网友
      11楼所说的 “Norton 360 ”是诺顿的一款产品,跟天朝的流氓公司奇虎没关系。

      删除
    4. 安全要求较高的不要用adobe的产品

      删除
    5. 不要用JAVA。。。。
      Win8自带Flash无解啊。。

      删除
    6. TO 5单元的网友
      最近10年来,基于 Web 的攻击,有很大一部分是利用 Flash 插件。
      Flash 插件爆了太多的高危漏洞了。

      如果你不需要看 Flash 视频,可以把 Win8 自带的 Flash 卸载。

      删除
    7. win2012没有flash,可以取代win8

      删除
  11. 博主啊,请问能不能扫盲一下open vpn ?谢谢啦:)

    回复删除
    回复
    1. TO 12楼的网友
      多谢提建议 :)
      俺抽空聊聊 OpenVPN。
      顺便问一下,你是否因为翻墙,才学习 OpenVPN ?

      删除
    2. 某次连接到朋友家Wi-Fi,启动OpenVPN后被屏蔽网站还是无法打开,切换3G后正常,觉得OpenVPN不安全。
      另外,PPTP,L2TP也很不可靠,目前用IPSec和AnyConnect以及VPNGate

      删除
    3. 希望扫盲下几种VPN协议

      删除
    4. TO 2单元的网友
      8楼的某个读者反馈说:GFW 已经可以检测 OpenVPN 的协议特征。
      或许你之前用 OpenVPN 无法翻出去,跟这有关。

      TO 3单元的网友
      多谢提建议 :)
      俺抽空普及一下不同的 VPN 协议。

      删除
    5. @编程随想
      是翻墙用的

      删除
  12. 请问编程君,影子系统是否安全?打开影子模式进行危险操作,比如安装各种危险软件,不用之后再重新启动回到纯净界面会不会有问题?

    回复删除
    回复
    1. 这玩意本质上还是一个沙箱

      删除
    2. TO 13楼的网友
      俺个人认为,影子系统依然不如“操作系统虚拟机”(具体理由类似于“沙箱”和“虚拟机”的对比,参见本文)
      如果你对安全性的要求较高,还是用虚拟机比较放心。

      删除
  13. 沙盘有设定可以直接隔离网络...

    回复删除
    回复
    1. TO v998
      多谢提醒 :)
      刚才俺在本文中补充了:
      有些沙箱虽然也支持网络隔离,但是其网络隔离的功能不如 VM 那么丰富(主流的 VM 软件通常支持至少3种以上的虚拟网卡模式)。

      删除
    2. 某些病毒能穿透沙箱,防病毒软件公司一般使用虚拟机研究病毒。

      删除
    3. TO 2单元的网友
      多谢补充 :)
      俺在本文中也一再强调,“沙箱”的隔离性不如“虚拟机”

      删除
  14. 使用Tor访问Github,都会提示“此网站试图访问画布上的图像数据”是什么意思?Tor的解释很笼统,意思跟QQ屏幕截图一样?

    回复删除
    回复
    1. TO 15楼的网友
      这个提示大概是指:网页上尝试使用 Canvas 相关的 API。
      Canvas 是 HTML5 新增的一个语法。

      因为 Canvas 会导致隐私问题(也就是“Canvas指纹”),如果你用 Tor Browser,它默认会禁用某些跟 Canvas 相关的操作。
      所以就出现了上述提示。

      关于 Canvas 指纹的隐私问题,请看《[url=http://program-think.blogspot.com/2014/01/privacy-protection-6.html]如何防范“浏览器指纹”?[/url]》一文的结尾部分。

      删除
  15. 请问编程兄有没有一些关于网络底层架构方面的书籍可以推荐呢?谢谢

    回复删除
    回复
    1. TO 16楼的网友
      关于你的这个问题,描述得不够明确。可以作如下几种理解:
      1、关于网络协议栈的底层协议
      2、操作系统对“网络协议栈的底层协议”的实现
      3、关于“网络协议栈的底层协议”的编程

      不知你指的是哪个?

      删除
  16. 我来试试,最近goagent也是折腾的够呛啊。

    回复删除
    回复
    1. 还是我,goagent可以留言,win7 x64,有Adblock。

      删除
    2. TO 17楼 和 1单元
      关于 GoAgent 翻墙的留言问题,比较奇怪。
      最近几天有两次读者反馈,提到 GoAgent 翻墙无法留言。
      但是也有读者(比如你)反馈说可以留言。

      因为俺平时不用 GAE 类型的翻墙(包括 GoAgent),所以俺没法亲自验证此问题。

      删除
    3. 你们的goagent有没有点击“加载更多”留言,有无法加载的吗?

      删除
  17. 请有时间补充一下vm的性能优化,当然是指开源的vm
    其实目前的free vm已经非常优秀,如果能善加利用,效果是显而易见的
    一项技术用的人少,它们可以‘抓’,用的人多,它们最多是‘封’,so有什么好东东一定要普及,不要默默的独自使用,那是很‘危险’的:)

    回复删除
    回复
    1. TO 18楼的网友
      多谢提建议 :)
      同意你的观点,好的东西一定要分享给大伙儿。
      对此,俺这几年一直身体力行。

      主要是俺的精力和时间非常有限,而且要照顾不同需求的网友。而“推荐优秀软件”只是读者需求之一。

      删除
  18. TO 编程随想
    博主怎么不介绍“影子系统”的使用呢?

    回复删除
    回复
    1. 如果影子系统软件出了问题呢?还是操作系统虚拟机更安全(除非有牛X的手段攻破虚拟化软件)

      删除
    2. TO 16楼1单元
      个人认为,“影子系统”的安全性要高于沙箱,低于VM。在兼容性方面更是比沙箱要好的多。还是很值得推荐的(连沙箱都推荐了,没道理不推“影子系统”啊!)

      删除
    3. TO 枫之落叶
      首先,目前大伙儿常用的哪个“影子系统/PowerShadow”是北京的一家公司开发的(国产软件)。
      很多人看它的界面是英文,以为是国外软件,其实被误导了。
      而俺一向对国产软件抱有怀疑态度(担心安全性和后门)

      其次,“影子系统”跟“虚拟机”都属于重型的软件;相对而言,“沙箱”是比较轻型的软件。
      既然要用重型的,不如干脆用虚拟机。
      俺实在想不出有啥理由要用“影子系统”而不用“虚拟机”。

      而且俺看了维基百科关于“影子系统”的介绍,貌似还不支持 Win8,至于“非Windows”的系统,更加不支持。
      相比虚拟机,简直弱爆了。

      删除
    4. TO 编程随想
      难道博主,只知道"PowerShadow"吗。其实“影子系统”还是很多的,比如: PowerShadow、Shadow User、Shadow Defender 、Time Freeze、HDGUARD、Try & Decide,Comodo Time Machine等等。有空博主可以多看看。个人比较喜欢Shadow Defender (但不常使用)

      删除
    5. TO 编程随想
      对于博主把所有“影子系统”都打入“重型”软件一类,个人并不是很认同。

      删除
    6. 重型: 要改动系统启动项
      不是吗?

      删除
    7. TO 枫之落叶
      抱歉,俺以为你说的是狭义的影子系统(也就是 PowerShadow)。

      如果是“广义的影子系统”,算上其它的同类产品,其总体功能还是不如“操作系统虚拟机”。
      比如虚拟机在跨平台方面,在迁移方面,在多种虚拟网卡模式方面,都比(广义的)“影子系统”要好

      关于“重型”的说法
      俺之所以说“影子系统”和“虚拟机”是【重型的】。因为这两者是都是“操作系统级别”。
      相对而言,“沙箱软件”是“进程级别”——所以“沙箱”算是【轻型的】

      删除
    8. TO 编程随想
      原来博主是这么定义【轻型】和【重型】的啊。。。

      删除
    9. 那要是玩单机游戏(像极品飞车、侠盗列车手、孤岛危机、战地这些大型游戏)也是在虚拟机里玩吗?恐怕会很卡哦

      删除
    10. TO 9单元的网友
      先声明:俺平时不玩游戏,所以没有在虚拟机中实测过游戏的流畅度。
      俺个人猜测:
      3D游戏在虚拟机中可能会有影响。
      不是 3D 的游戏,影响应该不大——只要你给 Guest OS 配够了内存,并且物理 CPU 本身就符合要求(CPU 的要求参见5楼3单元)。

      删除
    11. 游戏的影响还是很大的,不仅是性能方面,而且会有意想不到的各种问题。
      就比如说输入。射击游戏会检测鼠标相对屏幕中心的位移然后相应地移动视角并且将光标位置回正到中心再进行下一次判断。可是有些虚拟机没有让GuestOS控制物理机硬件的能力,但由于如果你不物理地移动鼠标,HostOS的光标是不会移动的,于是虚拟机就不断地向GuestOS发送没有回正的光标位置,然后你就要十分蛋疼地想瞄准时要手动将鼠标移回中心才能使枪口安定下来,可是这时你已经死了……
      这只是个小问题而已,玩虚拟机就要这样面对各种问题……祝你好运。

      删除
  19. 跑题请教随想一下:skype登录不了了。。。我用的是skype的4.1.0.179国际版,按照您介绍的切换链路,甚至挂VPN都无法登录,不知是微软屏蔽了老版本登录还是GFW搞的鬼!?如果不能登录,这样基于skype的翻墙就没法实现了 :( 不知其他的同学有没有类似情形,盼解疑答惑。。。

    另外博客的留言时间似乎不能精确到分了,是您故意改设置了吗?

    还有 关于虚拟机使用细节还是不要透露细节为好,免得社会工程学,假如有天走狗看到你使用电脑的特征,那您就暴露了!!!

    回复删除
    回复
    1. 另外一个帖子当中有位网友在与博主探讨大数据分析,他说服了博主,为了安全起见,博主就把时间显示修改的更模糊了。

      删除
    2. TO 20楼的网友
      根据你的描述,有可能是 Skype 的 4.1 版本太老了,可能 Skype 的服务器停止支持该版本了。
      要不你试试看 5.0 版本 或 5.5 版本
      (5.5 之后的版本,Skype 的研发已经被微软接手了,传闻说有 NSA 的后门)

      关于留言的时间戳。俺故意设置成【不显示】时分秒。
      有好几个读者都提出这个建议。
      显示“时分秒”太过详细,容易暴露留言者(包括俺)的详细网络活动时间。

      关于虚拟机的细节
      经过俺普及之后,越来越多的读者会使用虚拟机(尤其是同时运行多个 VM)。
      所以,俺的 VM 环境就不会显得太独特了 :)

      删除
    3. 然后兲朝的和谐大师们把虚拟机封锁了:(

      删除
    4. 审查网评员网络封锁,没有自由
      河蟹草泥马马勒隔壁,没有未来
      西方文明创造了伟大的信息技术
      满怀憧憬迎接新时代的工业革命
      河蟹兲朝引进了先进的和谐技术
      不负责任制造新中国的闭关锁国

      删除
    5. 建议编程兄可以考虑设置定时发表博文与博客评论,这样又能更进一步的扰乱某些人的大数据分析了。

      删除
    6. 正当全世界利用大数据掀起新一轮科技革命时,某个奇葩的国家用大数据囚禁人民,维护权力的稳定。

      删除
    7. 整天说人家日本出奇葩科技。我们更奇葩

      删除
    8. TO freedom fighter
      多谢提建议 :)
      自动发“博客评论”,稍微有点难度。需要去折腾 Blogger 的 API。俺抽空研究一下。

      TO 6单元 和 7单元
      看两位的留言,俺想起网上看到的一段:
      【在大航海时代禁海、在大贸易时代禁贸、在大数据时代禁网】

      删除
    9. 可以应用Blogger的邮件发文功能,然后有定时发邮件功能的邮箱还是有一些的吧。
      如果比较懒,这两个加起来应该是操作比较简单的实现方式。

      删除
  20. to 楼主:求扫盲基于sip的聊天配置。

    回复删除
    回复
    1. TO 21楼的网友
      你可以先看一下本系列的前一篇《[url=http://program-think.blogspot.com/2014/08/privacy-protection-8.html]如何保护隐私[8]:流氓的桌面软件有哪些替代品?[/url]》
      里面介绍的开源 IM 工具中,有好几个是支持 SIP 的。
      以后如果有空,俺再单独介绍 SIP 聊天协议的使用

      删除
  21. 这评论注定被吃 等恢复2014年8月31日 23:15:00

    通过蜜罐WIFI的多重代理危险吗?

    回复删除
    回复
    1. TO 这评论注定被吃
      如果你采用的“多重代理”是“前置代理+TOR”,那么蜜罐 wifi 是【看不到】你真实的上网流量,也【看不到】你真正访问的网站。

      但是要考虑另一个因素:
      如果这个蜜罐是党国设置的,那么党国的监控人员会发现你的上网流量全都是“加密的翻墙通道”。自然会起疑心。
      因为普通的网民上网,不太可能全程都是翻墙通道。

      所以,
      如果你使用公共场合的 wifi 热点进行匿名上网,除了【一定要用】“多重代理”,还需要另一个防范措施:【打一枪换一个地方】
      并且每次换地方, 顺便把自己无线网卡的 MAC 地址修改一下。
      通过不断切换物理位置,可以尽可能降低“潜在的蜜罐 wifi”导致的风险。

      删除
    2. 我用的反而不是公共WIFI,通过破解一个无线网络+挂多重代理。目前还是有很多路由器用的 wep加密的。

      删除
  22. 提醒一下,博主提到自己的机器是4核6G内存,我觉得它有点奇葩,通常的内存配置都是成倍增加(除非你的CPU是三通道内存为了性能的考量没办法要插3根),会让友谊搜集你信息的机构搜集到。博主用过CentOS操作系统吗?觉得综合方面如何?例如安全性和性能,现在我在用第7版。

    回复删除
    回复
    1. TO Yao Chen
      老熟人,你好 :)

      俺用过 CentOS。
      这款发行版是完全衍生自 红帽 的企业版(RHEL)。稳定性、安全性方面的评价都不错。
      在 Web Server 中,CentOS 占的市场份额貌似还挺大的。
      而且 CentOS 官网提供哦你 netinstall 的安装盘。这个安装盘比较轻量级(才一两百兆),而且可以从头开始定制你需要的系统组件。

      至于为啥内存是 6G,这个俺就不细说了 :)
      前几天已经有读者批评俺,把自己的硬件配置说得太详细,容易暴露个人信息。
      还好这个配置只是俺以前的配置 :)

      删除
    2. 博主也太高估我的水平了,我哪里会定制?我只会最小安装、启用网络、SSH连接,然后yum install,呵呵。

      删除
  23. centos 像是给server用的,不如用fedora
    更新太慢了(centos)...

    回复删除
    回复
    1. 紅帽系走的是服務器的路數 安全高限制也大 不適合新手

      删除
    2. TO 24楼1单元
      redhat系列的不适合新手?你听谁跟你讲的!。。。

      删除
    3. 專業學習方面的新手除外

      删除
    4. TO 24楼的网友
      CentOS 确实用在 Server 的比较多。不过个人用户想装 CentOS,也是可以的。只要自己懂得定制,一样可以配置得好用。

      至于说到“更新”
      Linux 的发行版有两种发布的风格:一种是基于版本发布,一种是基于滚动发布。
      “版本发布”通常比“滚动发布”要慢。
      但是安全性方面,“版本发布”反而比较稳健。

      删除
    5. 新手当然可以用redhat,但是如果要优化什么的,因为设计理念的问题,很难做到完全适合个人桌面应用。

      删除
    6. debian系更适合作桌面应用

      删除
  24. 十几年过去了,北京不敢明目张胆地收回其让香港人民通过普选产生特首的承诺,却玩了一个偷梁换柱的小把戏,那就是坚持不让香港人民和政党有提名候选人的权利。它要垄断提名权,也就是说,香港选民只能从北京提名的人选中选一个来当特首。

    回复删除
    回复
    1. 8月31日,中共人大常委会将会通过决议定下香港政改框架,不出意外的话,北京对真普选将会全面封杀。而此举将会使得香港民间力量准备已久的争取真普选的和平占中运动成为现实。香港警方如临大敌,同时中共官方媒体不断发出恐吓威胁的声音,剑拔弩张。一场决定香港未来命运的对决将要开始。

      删除
    2. 中共的这个决议还必须经过香港立法会的认可。 目前香港当地立法会的泛民主派议员有足够票数来否决北京的假民主决议,港民也支持泛民民主议员的这种决定。

      删除
    3. 这评论注定被吃 等恢复2014年9月1日 20:53:00

      [img]http://ww4.sinaimg.cn/large/72a04db5jw1ejwnou7l0xj20k00o80wv.jpg[/img]

      删除
    4. 香港必然要出大事,香港和内地其他城市完全不同,毕竟那里一直过着与世界接轨的生活,现在要倒退到和我们一样的困境,港人肯定无法忍受。

      删除
    5. 我也觉得香港这次没有那么简单。出大事的几率非常大。

      删除
    6. 就算明面上不動粗 底下的陰招也絕少不了

      删除
    7. TO 25楼的几位
      多谢本楼的几位关心香港的动态 :)

      当年“六四运动”的时候,香港民众给了北京的学生和民众很多的支持(包括人力、财力)。
      如今,咱们这些大陆的网友,如果希望推动天朝的政治变革,也应该支持一下香港的民主运动。
      哪怕只是在互联网上支持一下,也是好的。

      删除
    8. 可惜时过境迁,如今的大陆人民已经被深度洗脑,香港一动,朝廷一煽,马上就条件反射般的认为是“港独”,把自己那套强加于人还觉得是恩赐。

      删除
  25. 好文!受益匪浅!

    作为编程君的博上常客,还是第一次留言,提个小建议,虚拟机还有个缺点,恢复快照前一定记得把Guest OS的重要资料备下来呀,不然就大声的哭吧。

    回复删除
    回复
    1. 虚拟机都会崩溃,我遇到过
      备份不能少呀,随时同步到网盘,或者U盘。
      现在我连虚拟机一起备份,免得再装虚拟机浪费时间呀

      删除
    2. TO 26楼的网友
      主流的虚拟机软件(VirtualBox 和 VMware),他们都支持“持久化的虚拟磁盘”。
      这个类型的虚拟磁盘,不受快照的影响。
      你装虚拟系统的时候,可以单独分一个虚拟磁盘,设置为“持久化模式”,专门存放数据。
      这样在每次回退快照的时候,省去备份的麻烦。

      TO 1单元的网友
      你提到“虚拟机的崩溃”。
      如果快照文件没坏,只需回退到前一个快照,虚拟系统应该就恢复了。

      删除
    3. 好像带独立磁盘的VM没法创建快照啊。。。

      删除
    4. TO 张金涛
      多谢提醒 :)
      针对俺在 2单元 的说法,补充一下。
      对于 VMware 的虚拟系统,如果包含了“独立的持久的虚拟磁盘“(independent-persistent),这个虚拟系统就没法制作快照了。
      对于 VirtualBox 的虚拟系统,如果包含了“ write-through 磁盘”(类似于 VMware 的 persistent 虚拟磁盘),还是可以制作快照。
      (貌似很老的 VirtualBox 版本也是不支持的,后来才支持的)

      删除
  26. 编程兄

    我的host os是debian,通过wireless上网,ipv4设置为share with other machines
    virtualbox安装了guest os win 7, host only模式
    我的host os运行了tor,浏览器proxy设为tor的proxy,能够上网
    现在想让guest os通过tor上网
    我按照你之前的帖子设置了host和guest的host only网卡
    guest能ping到host,但是当我设置了tor的proxy,guest不能上网
    请教如何实现

    回复删除
    回复
    1. TO 27楼的网友
      根据你的陈述,俺的分析如下:
      1、
      Guest OS 能 ping 到 Host OS,就排除了虚拟网卡的模式配错。
      2、
      你提到说:“但是当我设置了tor的proxy,guest不能上网”

      对你的环境而言,如果你在 Host OS 已经能通过 TOR 上网,那就无需再修改 TOR 的 Proxy 设置了。
      这时候你应该修改的是 Guest OS 里面的浏览器的 Proxy 设置。

      删除
    2. 不好意思,我没说清楚

      在你的博文,单虚拟机配置,guest os上网要通过host os的代理软件。

      我想让guest os通过tor上网,但是我只配置了host only网卡,请问能实现吗?还是一定要加NAT网卡?

      删除
    3. TO 2单元的网友
      对于“单虚拟机方案”,Guest OS 的虚拟网卡就应该是 Host Only 的。
      【不要】用 NAT 模式的虚拟网卡(用了 NAT,反而不能确保网络隔离性)。

      俺估计你没有搞定,还有一种可能性——TOR 默认只监听在 127.0.0.1 这个地址
      (换句话说,只有跟 TOR 在同一个 OS 的软件,才能联上 TOR 的 SOCKS 监听端口。)
      如果 Host OS 里面的 TOR 监听在 127.0.0.1 这个地址,你在 Guest OS 里面的浏览器肯定无法联上这个端口。

      在《[url=http://program-think.blogspot.com/2013/01/howto-cover-your-tracks-7.html]如何隐藏你的踪迹,避免跨省追捕7:用虚拟机隐匿公网IP(配置图解)[/url]》一文中,俺用醒目的红色标注了:
      【注意事项:要确保你用的代理软件,是监听在 0.0.0.0 地址,而不是监听在 127.0.0.1 地址。】

      在那句话下面,有提到解决方法。

      删除
  27. 求大大介绍linux下kvm虚拟机的配置,感激不尽!

    回复删除
    回复
    1. TO 28楼
      这样的技术文章,可以有!

      删除
    2. TO 28楼的网友
      有空的话,俺可以考虑写一篇。
      顺便问一下:
      为啥你指名要学习“KVM”?原因何在?

      删除
    3. 同求KVM, 看了下资料,对qemu 和KVM 的一些关系有些混乱。我的理解qemu 是调用了kvm 内核模块吗?在debian 系统上,通过源安装的都是qemu-kvm 相关的包。 另外,也可以介绍下xen。 在我的理解,KVM 是包含在linux kernel中,配置好了效能应该是比较好的。 非楼上提问者。

      删除
    4. TO 3单元的网友
      关于 KVM 和 QEMU 的差异。
      KVM 官网上是这样解释的:
      What is the difference between KVM and QEMU?
      QEMU uses emulation; KVM uses processor extensions (HVM) for virtualization.

      关于这两者的关系
      KVM 只是 Linux 内核的一个模块(运行在“内核空间”)。它本身没有提供“用户空间”的工具,而是直接拿 QEMU 的一部分作为用户空间的工具。

      删除
  28. 根据solidot的报道:http://www.solidot.org/story?sid=40970

    大陆正在测试中间人攻击。

    为此我正在写一个简单的Socks代理,希望能捕捉到SSL协商时发出的证书,进行排除。
    看起来,修改各种浏览器,包括排除CNNIC证书,是个对于用户比较麻烦的过程。

    回复删除
    回复
    1. TO 冒牌的“忠党爱国”
      多谢分享新闻 :)

      俺也看到这个新闻了。早在4年前(2010)俺就警告过:GFW 勾结 CNNIC 搞中间人攻击的风险。
      一定要把自己系统中、浏览器中的【国内】根证书(比如 CNNIC 证书)彻底清理掉。
      具体操作可以参考《[url=http://program-think.blogspot.com/2010/02/remove-cnnic-cert.html]CNNIC 证书的危害及各种清除方法[/url]》

      删除
  29. 转:中国即将发布自主研发的手机操作系统了,我很期待。届时我的手机号码、通讯录、地理位置、邮件、短信、通话内容、上网历史、登录信息等等都会在国家的服务器上实时同步存档。仿佛把家搬到了公安局对面住一样,让我非常的放心。

    回复删除
    回复
    1. 不是仿佛,我家现在就住在公安局对面,你说放不放心呢?

      删除
    2. TO 29楼 & 29楼1单元
      从此妈妈再也不用担心我的安全问题啦!o(∩_∩)o...

      删除
    3. 你也太低估朝廷对我们的关心程度了,其实你用手机的所有信息朝廷都一清二楚,手机的功能越强大,泄露给朝廷的信息就越多,首先ISP就能看见你的很多信息,其次现在的智能手机更容易收集你的信息,有保密意识的人都会注意重要信息不用手机传递,目前也只有语音通话不能做到全面监听,只能筛选重点对象监听,不过智能手机的系统不同会有不同的效果,目前的国内的安卓系统特别是国产定制的系统是最不安全的(各位有想过为什么只有兲朝奇葩得搞那么多定制系统?),苹果系统由于是完全封闭的,朝廷难以搞鬼,所以有意引诱不明真相的越狱,这样系统就容易入侵,现在又强制苹果的云服务用电信代替,安全性大打折扣。朝廷在宣传国产系统时指责安卓系统太开放,苹果系统又太封闭,我琢磨半天才明白是什么意思——不要开放,朝廷在系统里安置后门不会被发现,不要封闭是只对朝廷开放,不对其它人开放,那么朝廷就能肆无忌惮的在系统里做手脚了,COSOS被人曝光是安卓定制的,可是其迅速改口,这一点能够说明很多问题,等朝廷把微软等国外系统赶出中国后,国内就会一片河蟹,翻墙?别想了,匿名举报腐败?把水表擦干净吧。可惜国内太多的不明真相的群众不明白朝廷是个偷窥狂,棱镜计划还真比不上。

      删除
    4. 朝廷才不在乎你的安全,朝廷只关心自己的权力的安全。为了维护权力血洗天安门这种事都能干出来还有什么可在乎的?

      删除
    5. 兲朝欺人太甚

      删除
    6. 如果换蛋壳也算国产的话

      删除
    7. 我家旁边就是派出所,更好玩的是,我用的大功率无线网卡蹭他们的网翻的墙哦。

      删除
  30. 用本地安全策略+证书把厂家拉黑
    自己就这个搞了些注册表文件

    回复删除
  31. 借博主一角科普。

    战中共的终极密器:火攻和暗杀。
    硝酸铵被中共禁止销售,最简单容易的铵油炸药已经很难大量制做啦,屁民们自制炸弹的原材料被切断。 硝酸钾更是中国梦。所以,火攻和暗杀是不二的选择。
    火攻密器是燃烧瓶。玻璃瓶罐装汽油制作,超级简单。随便搜下就大把的资料。
    要是能配上遥控点火装置,或者是定时器控制点火,威力可以猛增!亲,能干大事的!

    回复删除
    回复
    1. 请问燃烧瓶如何能打破坦克

      删除
    2. 自制炸弹可不只一种方法,要是有条件可以做技术含量更高的。我记得国外经常有书告诉你如何制备从TNT到MDMA的各种东西……化学果然有前途啊

      删除
    3. 怪不得国内现在到处封杀“暴恐视频和资料”

      删除
    4. 话说能不能把武器完全分解,顶多作为一个什么正常的产品的部件装上去,各个部件由不同地方的不同公司进口再在国内运到一起组装,另外像枪托这种容易被看出来又没有什么技术含量的就直接国内生产一个仿品。
      好吧这就是走私。。。而且似乎要违反两边的法律,但是如果有可行性的话。。。

      另外如果有大富豪请雇佣军进行特种行动。。。

      好吧我就是看了电影在妄想。。。

      删除
    5. 使用经过打气筒获得的压缩空气通过某些管道把电池或者玻璃球加速到手枪出膛速度甚至更高是可能的。具体材料直接在五金店就能买到,多的不说了。
      注意:子弹可没有以上物体的质量(物理上的质量)和口径。所以威力比手枪子弹大一点。

      市场上不难买到铝粉和氧化铁,混合后反应叫什么我也不必多说了吧?氧化铜在这一反应中如果替代氧化铁几乎具有爆炸效果。

      对付坦克,虽然以上方法仍然naive,但是,把坦克出口焊接起来还是能的。燃烧瓶不能融化坦克的装甲,但是能让里面的人陷入地狱。

      4单元:以后等3d打印机普及了,很多部件就直接(翻墙?)下载图纸了。

      尿素和碳酸钠(可由热分解碳酸氢钠——小苏打——制取)共热可制成氰酸钠。氰酸钠本身毒性一般,但是在铁或者镍催化下真空加热可以生成氰化钠(剧毒)和碳酸钠。在酸性下氰化钠可以进一步产生氢氰酸——然后可以参考日本二战时的发明:一式氰酸手雷(对付坦克用)。

      删除
    6. 氯气,64时使用过的军用毒气,制法只需要在次氯酸钠溶液中加入足量强酸,前者来源是84消毒液。后者是洁厕灵。

      燃气-空气混合物爆炸的威力不逊于普通炸药。如果能设计合适的方法,在液化石油气罐中加入足够的氧气或者空气,安装引信,威力是惊人的。

      另外,不要忘了老祖宗的遗产。良好设计的弩的威力也不比枪支差。有些中药,比如草乌,可以提取的箭毒也是致命的。

      还有,防御方面,沙袋防御子弹是极为有效的方法,具体可以在google上查找。即使是步枪子弹,一个沙袋也不能穿过。甚至经过实验表明,步枪子弹因为速度过大,穿过沙袋的能力反而不如手枪子弹(因为过早在沙袋中破碎了)。

      防御步兵,参考一站使用铁丝网的经验。这种设施虽然简单,但是极为有效,甚至无法使用榴弹破坏。如果他们要近距离破坏铁丝网,就无异于成为我们的靶子。

      删除
    7. 前几天ccav的每周质量报告给了我灵感。鉴于移动电源的普及率比较高,非常情况下可以用它制造混乱。当然,我不是煽动恐怖主义。

      删除
    8. 擦,忠党爱国的知识略丰富啊。

      删除
    9. 这个忠党爱国好高端啊。

      3D打印确实很有前景,但是至少在现在还是很难和正常的工业制品匹敌,特别是耐久性方面。另外也有一些特殊工艺无法完成,使得成品的性能不尽如人意。
      尖端科技研究方面,个人和独立研究室在和国家支持的学术机构和制作所的竞争中几乎处于完败。美国尚且如此,考虑到中国的情况更加不容乐观(顺便感叹一下中国真正做研究、做学问的人真的不多了)还是考虑一下已有的成熟技术,如何降低制造门槛和成本、简化设备才是比较现实的道路。

      所提到的比较naive,又老又土的方法,其实在广泛动员之后不失为一种切实的保障。
      国家之间的战争尚且会掏空国库,民众和政府的斗争也不能过多@4单元寄希望于什么富豪的雇佣军,因此资金源是硬伤。能大量廉价生产的才是真正的需要。即使是比较强悍的反政府武装也很少上升到飞机导弹的地步。

      话说回来,开放低空空域之后,私人持有飞机应该会相应增加。即使数量少,没什么武装,也会增加朝廷反制的成本,对观望的民众也会有一定的激励作用(撒传单?)重要的是方便了广域串联,减少对国家控制的铁道的依赖。

      删除
    10. TO 冒牌的“忠党爱国”
      想不到你在化学和兵器方面,了解得还挺多嘛 :)

      TO 8单元 和 9单元
      33楼 的这个“忠党爱国”是冒牌滴。
      此人也算是俺这里的常客了,经常跟那个正牌的“忠党爱国”叫板。

      删除
    11. TO 冒牌的“忠党爱国” 和 9单元
      俺本人也非常看好“3D打印”的前景。
      这玩意儿不仅能颠覆制造业,而且可以颠覆传统的政治理念。

      “3D打印技术”的扩散,其意义如同当年“加密技术”的扩散。

      “加密技术”扩散之后
      面对完善的加密数据(比如有经验的人制作的 TrueCrypt 加密盘),政府几乎是无能为力的(目前针对 TC 加密盘的破解,都不是真正意义上的破解)

      “3D技术”扩散之后
      彻底的枪支管制将成为“mission impossible”
      这两年已经出现了“纯3D打印的枪械”。估计很快就能成熟。

      删除
    12. 曾经有次在微软的一个演讲上,听到这么一句话。大意是,我们可以看到,当真正有力的工具被给予每个用户时,这世界会怎样变化(其实原文是推广Excel的)。

      加密技术不只是保护隐私,也保护言论自由。这方面加密技术还没有达到极致,不过我相信很快就会的了。

      关于枪支的问题,我开始也是矛盾的。因为枪支对一般人威胁很大。不过,诚如tor作者说过,那些想要犯罪的人,没有这个工具也会用别的办法犯罪的。加密技术不也是如此,当年还被当作军火呢。交给一般的没有枪的群众这种有力的防卫力量,也是一种威慑呢(胡作非为的要小心点了,小心被打死)。

      删除
    13. “平民拥有武器”,曾经对此无法理解,“身怀利器,杀心自起”,保家卫国有军队,维持治安有警察,平民何须武器?
      如今才明白,拥有武器是拥有一种权力,反抗暴政,保护自己的权力,当平民遇到暴政,舆论无效,法律无效,眼泪无效,只有武器才是暴政认识的东西。

      删除
  32. 博主你好,我最近用tor总是提示“正在载入网络状态 失败 (缺少 pluggable 传输类型网桥)。”这怎么解决啊

    回复删除
    回复
    1. TO 34楼的网友
      请问你的 TOR 用的是哪个翻墙工具作为前置代理?

      删除
    2. 曾经用过一些vidalia

      删除
    3. TO 2单元的网友
      Vidalia 并【不是】 TOR 的前置代理,它只是一个 TOR 的界面前端。

      在天朝,TOR 是无法直接联网的,需要依靠前置代理才能联网。
      大部分常用的翻墙工具可以作为 TOR 的前置代理;但是 GAE 类的翻墙工具不行。
      更多介绍请看《[url=http://program-think.blogspot.com/2013/11/tor-faq.html]关于 TOR 的常见问题解答[/url]》

      删除
  33. 编程兄,能不能抽空没换回复一下邮件?我的Gmail,是关于修改hosts文件翻墙的

    回复删除
    回复
    1. TO 35楼的网友
      因为读者来信太多,而俺的时间很有限,所以回信的周期会比较长。
      还望谅解哦

      删除
  34. IObit 系列 的电脑维护软件怎么样? 比如Advanced SystemCare 7,我把我电脑上的所有软件都给设置了乱七八糟的 代理:)除了杀毒软件

    回复删除
    回复
    1. 属于国产安全软件

      删除
    2. TO IObit
      你提到的这款软件,俺没用过,不好评价。

      删除
  35. 国内互联网理财产品(像余额宝、百度百赚、微信理财通、苏宁零钱宝等)收益怎么样?会不会又是跟比特币同命运呢?

    回复删除
    回复
    1. 拜托,给我点建议吧!37楼

      删除
    2. 理财产品和比特币是同一东西吗?

      删除
    3. 这两种东西完全不是一个东西啊。一种是货币基金,一种是没有担保的数据符号而已。

      删除
    4. TO 37楼的网友
      貌似你这条留言在另一篇博文也发了。
      俺的回复在“[url=http://program-think.blogspot.com/2014/09/weekly-share-71.html?showComment=1409900950781#c1403177511828765481]这里[/url]”

      另外,俺同意 3单元 所说。
      “比特币”跟“余额宝”是完全【不同】的东西,没有可比性。

      删除
  36. 试问编程随想有没有让主机不联网而让VM联网的方法?

    回复删除
    回复
    1. TO 张金涛
      你这个需求很怪哦。能否说一下原始需求是啥?

      删除
  37. 如果你用过CentOS(俺用过7),里面有个叫box的程序,就是qemu-kvm的图形化框架。

    回复删除
    回复
    1. 呃,这该是回复到28楼里的。。

      删除
  38. Guest OS 与 Host OS 是彻底隔离的,为什么avast 装在物理机上也能误杀Guest OS里刚下载的东西、拦截网页呢?

    回复删除
    回复
    1. 因為guest os 的網絡是經過host os 出去的,所以被殺軟攔截不奇怪。

      删除
    2. TO 40楼的网友
      关于 Host OS 和 Guest OS 的隔离性,俺已经在本文中补充说明了。

      删除
  39. 博上面 9月1日的评论,在哪可以查看得到?

    回复删除
    回复
    1. TO LSD
      请问你要查哪一篇博文的评论?
      如果你想查 9月1日 所有的评论,可以订阅俺博客评论的 RSS(用专门的 RSS 阅读器)。
      该 RSS 的地址请看右侧栏的“最新评论”边上的那个图标。

      删除
  40. 请问编程君寰宇浏览器怎么样安全不?

    回复删除
    回复
    1. TO 1
      你提到的“寰宇浏览器”,俺没听说过。
      刚才去它官网看了一眼,感觉像是台湾公司开发的(不太确定)。

      俺【不】建议用太小众的浏览器。
      一方面是成熟度未知;另一方面是缺少相关的安全扩展的支持。

      俺个人优先推荐的浏览器是 Firefox,其次是 Chrome
      (这两款浏览器都有很多成熟的,安全方面的第三方扩展)

      删除
  41. 为什么台湾还不反攻大陆阿

    回复删除
    回复
    1. TO 1
      以目前台湾的军事实力,要想反攻大陆估计难。

      换一个角度想。
      俺觉得:要想推翻中共的专制统治,需要依靠天朝民众自己来实现,不要寄希望于外部势力的介入。
      有兴趣的话可以去看看俺写的[url=http://program-think.blogspot.com/2011/12/revolution-0.html]《谈革命》系列[/url]

      删除
    2. 台湾的思想很好,能力不行。军事上更是如此,总是希望如何厉害,实际上就是经常掉链子。当然也许是我主要了解大陆的东西而已。不过大陆的军事看上去很强大,实际上如何不知道,我觉得要是打了起来,也会有很多逗逼的地方,看那些军八股就知道了(比如新兵在新疆野外训练结果徒手捞带鱼——这是深海鱼; 抓毛色雪白的家兔吃)。还有那个一天写一万行代码的神女程序员(我写注释都写不了这么多)。

      当年台湾根据宪法走的是军政-训政-宪政的三步,相比之下,大陆现在还在训政这一步停滞不前而且赖着不走。

      删除
  42. 博主你好,中国路由器被爆存在“后门程序” 电脑用户个人资料随时可能被盗,看完这篇报道后请问应该怎么破?

    回复删除
    回复
    1. TO 44楼的网友
      已经有好几款个人用的路由器,被曝光存在后门(有些是故意留的后门,有些是无意中产生的后门)。
      即使现在没有出问题的路由器,说不定今后也可能出问题。

      根本的解决之道是:
      上网的时候,尽量使用【全程加密】的方式。
      所谓的“全程加密”至少包括如下一些措施:
      1、如果某个 Web 站点同时提供 HTTPS 和 HTTP 两种协议,你应该用加密的 HTTPS,而【不要】用明文的 HTTP
      2、有条件的话,基于翻墙工具上网(哪怕访问国内网站,也翻墙访问)。因为翻墙通道都是加密的,路由器看不到你的【真实的】上网内容
      3、有条件的话,尽量【关闭】路由器的无线功能(开启无线功能之后,路由器的漏洞更容易被周围的入侵者利用)

      删除