【明慧網2000年12月31日】 目前公安搜查電腦的主要方式是:1、搜索、察看各種文件的痕跡,這包括搜索、察看各種recent、temp、history、cookies等目錄下留存的文件,zip解壓路徑、播放器播放文件路徑等信息,各種緩存甚至win9x、Win2000中交換文件(swap)中的信息、註冊表信息、Fat表文件目錄等;2、恢復被刪除的各種文件,包括恢復從回收站(桶)(垃圾箱)清空後刪除的文件、恢復被格式化磁盤中的各種文件等。一般來說,大家都知道要將各種目錄下的有關文件刪除和清空回收站,但較少有人知道這些「刪除」和「清空」並不安全,也不知道windows的swap、註冊表中尚有殘餘信息,也不知道即使磁盤格式化後仍可恢復其有關文件等。所以,如果不採取特別的安全措施的話,只要你在電腦中曾經打開、使用過敏感文件,公安都有可能從你的電腦中找到線索。以下是一些主要的安全方法,供參考,希望其他學員不斷補充、完善。 一、首先安裝好二個軟件:1、超級兔子魔法設置MagicSet3.4,有win9x(包括WinMe)版和win2000版,實際上只要將其解壓到一指定目錄(如MagicSet),再執行MS98.exe或Ms2000.exe即可。2、CleanDiskSecurity4.73及其漢化版,先將Clndisk473.zip解壓到一指定目錄,然後先執行Clndisk.exe(安裝英文版),再執行漢化文件Pclndisk473.exe對其漢化,最後依漢化說明複製eraseex.dll到相應安裝目錄。Windows9x的DOS模式可在起動機器時按F8鍵,選Command Prompt Only;Win2000和WinMe的Dos模式就比較麻煩一點了,要用DOS軟盤或其啟動盤起動,當然若有雙起動就容易多了,就可以在一個系統中複製另一系統中的eraseex.dll。 上述兩個軟件都有一部份免費使用功能,對於我們來說基本夠用了。當然,有條件的學員可到有關地方註冊或購買完全版。 二、硬盤中各種垃圾的清理,包括各種recent、temp、history、cookies、temporary等目錄下留存的文件,zip解壓路徑、word和winpad(寫字板)最近編輯文件的路徑、播放器播放文件路徑等信息。先起動MagicSet: (1)點「多用戶」,選中「不顯示最後上機的用戶名稱」。 (2)點「清除垃圾」,上下兩個框中的內容都全選中,再選中「關機時自動清除文檔菜單」,點最下面的「清除」 (可選移動到回收站或直接刪除),注意不是中間的「立即清除」 (它只是清除其左邊框中的內容) 三、手工進一步清理點磁盤中的recent和cookies等目錄中的垃圾: 1、點任務條上的「開始」,選搜索,選文件或文件夾,在「要搜索的文件或文件夾名」欄中填上recent,然後點「立即搜索」。搜索完後會發現\windows\recent目錄下的內容是沒有了,但\windows\application data\microsoft\office\recent等目錄中仍然有不少內容,這是因為使用Magic Set等軟件清除垃圾時,一般只是清除\windows\recent目錄中的內容,而一般也較少有人知道office中也有recent目錄。如果是使用win2000,則還會看到其他的recent目錄。這時應將這些recent目錄一一打開,若有內容則全部選中,按鼠標右鍵,選「完全擦除(fully erase)」(安裝完CleanDiskSecurity4.73後會自動在鼠標右鍵的菜單中加上「完全擦除(fully erase)」選項)。注意:這一步很重要,許多資料都在office的recent目錄中;要刪除recent目錄中的內容,而不是recent目錄本身;如果是WinMe系統,則千萬不要刪除RecentHelpTopics.htc文件。 2、在「要搜索的文件或文件夾名」欄中換填上「Cookies」(注意:不是Cookie),再點「立即搜索」。完成後有時也會發現還有一些「Cookies」並沒有清除掉(主要是在WinMe和Win2000中),這時可按上述方法將剩餘的Cookies完全擦除。注意:要刪除Cookies目錄中的內容,而不是Cookies 目錄本身;如果Cookies目錄中只剩下一個文件「index.dat」,就不要刪了(不要選它,也刪不掉),這是系統保留的有關資料文件,沒關係。 3、在「要搜索的文件或文件夾名」欄中換填上「Temporary」,再點「立即搜索」。完成後有時也會發現在一些Temporary 目錄下也還有「Cookies」並沒有清除掉,這時可按上述方法將剩餘的Cookies完全擦除。注意:這個目錄有些特別,若是雙啟動系統,則每個系統都會在另一個系統中有關Temporary目錄中留下自己的有關Cookies,且在每一個系統中也只能看到和刪除本系統中的有關Cookies,因此,必須在每個系統中使用一次本方法。 4、在「要搜索的文件或文件夾名」欄中換填上「History」,再點「立即搜索」。完成後有時也會發現在一些「History」目錄中還有一些內容沒有清除掉(主要是在WinMe和Win2000中的「今天」子目錄下的內容),這時可按上述方法將剩餘的內容完全擦除完。注意,只刪除「History」目錄中的有關內容,不要刪除某些「History」文件,特別是WinMe系統,有較多的「History」文件,千萬不要刪除。 四、清理註冊表中其他的垃圾信息(即user.dat等註冊表文件中的有關垃圾信息): 主要是指打開或察看軟盤上的文件後,不管後來有沒刪除,註冊表中會保留一定數量的文件名稱。這時應啟動MagicSet,點左邊往下數第三個甲蟲圖標「註冊表掃描」,再點「註冊表掃描」選項,先點「備份」(將註冊表備份一份,以便出錯時恢復註冊表),選中5、6、7方框(打上鉤號),點「掃描」(此時軟驅中應沒有軟盤),掃描完後點「清除」。 五、清除已刪除文件的痕跡。 一般的文件刪除,實際上只是註銷FAT表中的文件目錄,文件真正位置上原來的內容並沒有被刪除,他們仍然還在原來的位置。如不在這些位置上寫上新的內容,就非常容易被恢復。現在有些文件恢復軟件的功能十分強大,即使文件原來的位置上被擦寫了幾次,仍然可將原來的文件恢復出來或部份恢復出來。另外,即使原來文件的位置(存放的具體內容)被擦寫了許多遍,已經恢復不出來了,此時也未必是最安全的時刻。因為FAT表中原來文件的名稱還有可能被恢復(FAT表是用來存放電腦分區資料、文件目錄名稱等資料的),因此,還要擦除FAT表中文件名稱的有關資料。所以要使被刪除文件不被恢復,只能是將文件原來存放的位置及其在FAT表中的目錄名稱擦除多次,這樣才能達到要求。現在具有這樣擦除功能的軟件已有一些,但功能較強、又是免費、又是漢化版的不多。筆者認為CleanDiskSecurity4.73及其漢化版基本能滿足需要。下面就簡單介紹其使用方法:(第一次使用該軟件之前可先進行磁盤碎片整理)啟動「clean disk security」(安裝完後,點「開始」,指「程序」,指「Clean Disk Security」,點「Clean Disk Security」;也可先在桌面上建一個快捷方式),點「關於」,點「註冊」,填入註冊碼,按「確定」退出;點「配置」,選中「擦除FAT表中任何時候刪除的文件名稱痕跡(較慢)」;如是Win2000,再選中「退出時清除交換文件中的信息」;取消「維護操作日誌文件」,按「確定」退出。再選中「清除最近的文件目錄」及以下的各選項,在方式中,選「Gutmann方式(35遍)」,點「清除」。 注意:最後一項「清除視窗系統交換文件」功能在WinMe中尚不能實現,筆者也尚未找到解決辦法,即使使用WinMe的Dos補丁也不行,也許要使用其更高的版本,特別是第二項「清理文件閒置空間」功能更不能在WinMe中使用,千萬不要點選;不過,若是先運行了磁盤碎片整理,並運行了本軟件的其他擦除功能,則第二項功能不使用也可以,請其他學員對此補充、完善。接下來Win9x和Win2000的用戶,可選中第一、二項,再按「清理」;WinMe的用戶就只能選第一項來清理了。清理第一、二項的時間要很長,建議晚上讓電腦獨自運行,因一般要兩個小時以上。通過運行上述清理,以後要刪除敏感性文件時,只要點擊鼠標右鍵,按「完全擦處(fully erase)」就可以了。第一次使用過該軟件後,以後一般可只使用第一、二項以外的功能,第一、二項功能可根據需要使用。 擦除已刪文件在FAT表中的名稱(第一次使用,適合Win9x及WinMe):選擇好磁盤號,點「查看」,點「目錄」,點「擦除所有已刪除文件的名稱」。 注意:上述提到的各種方法(一至五項)最好按順序執行。 六、關於上網安全、電子郵件安全的辦法,請參看明慧網上的其他幾篇文章,這裏再補充幾點: 1、關於安全代理。 在「關於網絡安全的若干問題」一文中曾經提到過尋找安全代理的方法,這裏還有另外一個較簡單的辦法。即我們可到http://cachenow.virtualave.net/forum/index.html(代理服務器論壇,目前不用代理也可以連接上)上直接查找,該論壇上有代理服務器列表,還有另一個帶「ssl」加密的二重代理https://lesser-magoo.lcs.mit.edu/px.html等。查找一般代理時,先點「代理服務器列表」(此時需要使用代理才能進去,因換成了日本的地址),注意,進去後其網頁是日文版,也許有些學員的瀏覽器不能夠正常顯示,不過英文部份還是會正常顯示的,所以有些地方是亂碼沒關係,直接點「Proxy Speed Ranking(按速度快慢排列的代理)」,然後按順序試用就可以了。不過要注意,須選那些有「Anonymous(匿名)」特性的代理,而不要選那些「Non-anonymous(非匿名)」的代理。當然,你也可以自己再檢測一下(點Check)。該論壇提供的Anonymous代理一般都會是國外的安全代理,大家可放心使用。另外,也可到http://tools.rosinstrument.com/proxy/網頁上直接查找,該網頁每天都提供大量免費、匿名且有ssl安全的代理服務器。先點「Last 200 recently checked hosts sortered by speed(最近檢測的按速度排列的200個代理服務器)」,然後可按順序選試。但要注意,原來可以直接在該網頁上檢測「匿名」、「ssl安全」、「whois(是誰,即代理的地址或國度的檢驗)」等信息,現在不行了,要先註冊才可以(有條件的學員可先註冊);所以只好按順序選擇,再到http://cachenow.virtualave.net/forum/index.html(代理服務器論壇)上或使用其他辦法一個一個去檢測了。現在國內安全部門已在提供假代理,學員要特別注意檢查代理服務器的地址。 2、關於電子郵件的安全。 後來明慧網上有學員提供了可對郵件內容加密的安全辦法,從加密的程度來看,郵件的內容的確很安全了。但也要注意,不要使用此方法從國內任何郵局發信,而要到國外的免費Web郵局上使用此方法。因為,當你在國內郵局上發信時,雖然別人不知道你信的內容,但可查到信發往甚麼地方以及信是從甚麼地方發的,這樣也容易暴露自己。若是在國外的免費且具有加密功能的Web郵局上使用此方法發信,他們就很難發現了。另外,這個方法比較複雜,可能較多的學員較難掌握。在「關於網絡安全的若干問題」一文中曾經提到過用「普通安全代理+(國外安全)匿名郵件」發信的方式,雖然其安全程度稍低點,但比較簡單,且有「SSL」加密,一般也難以破解,如果學員沒有準備好第一種方式,仍可使用此種方式發郵件。不過,www.anonymizer.com上的匿名郵件已不再免費了,須使用其它的安全匿名郵件程序。當然,如果你的電話或上網賬號已經被監聽,則無論使用哪一種方法發郵件都不安全了,此時應到別的地方或使用別的方法上網。如可購買163上網卡,再加上一台掌上電腦(如聯想的天璣2000,掌上通2000_B等,約1500-2000元),就可到其他任何有電話線的地方上網了。目前國外較好的免費匿名(可隱藏IP)郵局主要有:www.fiberia.com、wwww.netaddress.com等,但要先在這些郵局開設一個免費郵箱。大家可先進入這些郵局開設一個免費郵箱,然後設置好普通安全代理(注意普通安全代理與匿名郵局的配對,可能要多試幾組,普通安全代理+二重代理https://lesser-magoo.lcs.mit.edu/px.html可與www.fiberia.com配對使用),連上後即可在Web上自己的郵箱中直接發郵件了(最好用附件的形式,壓縮成ZIP文件)。具體也可從其中的一個郵箱發到另一個郵箱,再由另一個郵箱(具有轉信功能,點郵箱中的「forward」)轉到明慧網的郵箱。關於免費的匿名郵局,大家可用「anonymous email,free」字符串在各種搜索引擎上查找,若有更好的不妨再公布。 3、現在網上的有關資料變化較快,如:原來www.hotmail.com沒有安全加密,現在也有了「SSL」加密(但發郵件還是沒有隱藏IP);原來http://tools.rosinstrument.com/proxy/網頁上可免費查到各種安全代理,現在不行了;原來在www.anonymizer.com上可使用免費的匿名郵件,現在也不行了,等等。所以希望學員也要經常注意網上的各種變化。 七、另外注意幾個問題: 1、關於垃圾信息清理軟件,還有「windows優化大師」也比較好,但該軟件在WinMe中使用較危險,容易出現意外錯誤;如果是使用Win9x或Win2000也可配合使用此軟件。 2、關於磁盤擦除軟件,也還有比CleanDiskSecurity4.73更好的,但其它軟件要麼是英文的(沒有漢化版),要麼需要付費,要麼其免費功能很弱,等等,就目前情況看,一般學員使用CleanDiskSecurity4.73及其漢化版較合適。 上述軟件的獲得:可從國內的「華軍軟件園」(http://www.newhua.com/index.html)中,在「軟件分類」的「系統軟件」下的「系統設置」和「系統安全」兩項中查找。也可到superrsoft.com上找「Magic Set」。 3、要使電腦處於較安全狀態,還要注意到:①不要在電腦中存儲任何敏感文件,即使是加了密的也不可,因為一般文檔的加密比較容易解,如office,zip等文檔都有專門的解密軟件(要付費的正版)。②每次下網後退出電腦前都要清理一次敏感的垃圾資料,不要嫌麻煩。③千萬不要以為給電腦設了CMOS密碼(開機密碼),windows登陸密碼,或鎖定系統密碼(如Lockdown等軟件)等就萬事大吉了,這些方法對安全部門來說一點用也沒有,如他們可將你的硬盤取下放到另一台機上作為從盤,這樣上述密碼幾乎一點作用也沒有。④不要認為在電腦中用一般刪除命令或清空了回收站或在DOS狀態下使用了Delete、Deletree等刪除命令就安全了,要使用前面提到的「完全擦除」方法才安全。⑤使用windows中的文件碎片整理可在一定程度上保證被刪除文件的安全,但遠遠不夠。因為有些被刪除文件要是其位置剛好在磁盤資料區的最後,則即使是進行文件碎片整理後也不會覆蓋其位置;另外,文件碎片整理後也只是對被刪除文件原來的位置最多進行幾次覆蓋,還有較大的可能性被恢復,最好還是要使用前面提到的「完全擦除」方法,如是擦除了35遍,則幾乎是沒可能再恢復了(到目前為止,還沒有資料顯示擦除35次後還可以恢復)。⑥養成良好的安全習慣,並經常參看網上介紹的其他安全辦法。 附:其他安全辦法:(由其他學員提供,筆者以「答」的形式提供一些完善方法) 1.Word文件: (1)刪除屬性中的"作者"和"公司"欄的信息;此信息在選中Word文檔,點右鍵,選擇"屬性"的"摘要"中會一覽無餘。國外學員在給國內學員發送電子郵件時如果帶有Word文件的附件也應該注意這一點。 (2)我們發現只是簡單刪除Word文件屬性中的"作者"和"公司"欄的信息時,"摘要"中的相關信息可能被清除了,但是在"統計"一頁的"上一次保存者"中仍然可能暴露作者的身份。(請相關學員提供更好的解決方法) 答:在word97中:打開word97,打開要修改的文件,點「工具」菜單,點「選項」,點「用戶信息」,在「用戶姓名」欄中隨便填入一個不容易被人認識身份的字母;再點「保存」,選中「自動保存時間間隔」,在時間欄中選「1」分鐘;在要修改的文件中的某個位置隨便輸入幾個空格,然後等待一分鐘,讓系統自動保存一次,最後保存退出。此時,文件屬性中「統計」一頁中的「上一次保存者」就會變成你剛才改過的新名稱。注意:一定要讓系統自己自動保存一次後改動才有效;為了安全,你以後正常使用word前應將用戶姓名再改成別的名字。 在word2000中:改動較word97容易,打開word2000,打開要修改的文件,點「工具」菜單,點「選項」,點「用戶信息」,在「用戶姓名」欄中隨便填入一個不容易被人認識身份的字母,在要修改的文件中的某個位置隨便輸入幾個空格,然後保存退出。在word2000中,文件屬性中沒有「統計」一項內容,同樣信息是包括在「摘要」欄「的「最後的保存者」中。上述改動後,「最後的保存者」就會變成新的名字了。 (3)我們發現使用記事本書寫短信息作為電子郵件的附件比較安全,屬性中不含任何作者信息。 (4)請將Word"工具"的"選項"中,將"常規"一頁上的"列出最近所用文件數"設定為空白,以避免公安查抄計算機後發現任何文件線索。 2.關於文件的存儲: (1)文件的名稱:建議使用ABC字母或數字等無邏輯意義的自編文件名,自己明白即可,不要直接用網上文章的原標題作為文件名,特別注意不使用漢字文件名。 (2)文件的存儲位置:最好不存儲到硬盤上,而是使用軟盤。據說安全部門使用專業軟件,可以查到那些已經從硬盤中刪除的文件或文件痕跡(請了解相關技術的學員補充)。 答:使用軟盤時也要注意,首先,保存在軟盤上的文件應設密碼,以防萬一被發現時,別人也不容易打開查看(zip、word文件容易設密碼;從網上下載的網頁文檔*.htm、*.html應先將其壓縮成zip文件,然後再存儲)。其次,每次從軟盤上瀏覽完文件後,會在註冊表中留下文件名的有關資料,應運行MagicSet,按前面提到的「註冊表掃描」方法清除。 要在硬盤上刪除敏感文件,應按前面提到的方法,按鼠標右鍵,按「完全擦除(fully erase)」(先安裝CleanDiskSecurity4.73)。 3.計算機內的文件: (1)如果文件必須放到硬盤上進行操作,那麼操作完成後應該將文件從硬盤上刪除。再使用文件時可從軟盤調用,不要怕麻煩。 (2)每次關機前,清空回收站。不知道是否已經從回收站清空的文件仍然有可能被專業軟件發現痕跡或重新打開(請了解相關技術的學員補充)。 答:見前面。 (3)每次關機前,用鼠標右鍵點視窗"開始"欄右邊空白處,然後選擇"屬性"中"開始菜單程序"一頁,對文檔菜單進行清除。這樣視窗"開始"的"文檔"中就不會顯示近期所打開的文件清單。作用與1(4)同。 答:在MagicSet中設置了「關機時自動清除文檔菜單」後,以後電腦會自動清除「文檔」中的內容,可不必每次使用此方法。但還要特別注意,Office有關「recent」目錄中還會有類似的內容,需按前面提到的方法清除。 (4)我們發現計算機內還有許多隱藏性文件和link文件會含有上網的記錄,不知道如何刪除,例如windows中的user.dat文件是隱藏性文件,不知道如何修改或刪除。繁請了解相關技術的學員提供技術解決方法。 答:可運用MagicSet中的「註冊表信息清理」、「清理垃圾」清除,但可能不夠徹底,還在仔細查找。 (5)因此,保護好觸網第一人是非常重要的。在必要的時候,如果沒有其他更好的方法,請將計算機轉移他處,或將計算機硬盤格式化是最後的解決方法。 答:即使格式化硬盤後,只要沒有再裝入新的文件,或沒有全部將原來的文件資料覆蓋,要恢復原來的資料仍然很容易。最好是使用前面提到的「擦除」軟件。 4.文件的打印和複印: 據說安全部門會用技術手段核對傳單出自哪台打印機或複印機。因此, (1)文件打印最好使用最通用的宋體,不要使用自己計算機特有的非常規字體。 (2)每次打印紙的邊距可調為與默認設置不一樣的規格。 (3)使用最通用的打印紙。 (4)注意打印機和複印機不應該有甚麼打印特點,例如在頁面的某個位置上有墨點,或者是白道等。 5.關於電子郵件: (1)不要直接在郵件正文中寫重要文字,重要文字應該放在附件中,附件最好用記事本寫,zip後安全性更好。 (2)郵件標題最好使用英文或者指示性不強的內容,不要直接用網上文章的標題,也不要使用自己的名字做郵件標題。 (3)創建電子郵件地址時不要在前面的字符串中包含自己的姓名。 (4)給人回郵件時,不要使用自動回覆的功能(包含太多的收發件人信息和原郵件內容)。 (5)最好為自己多建一些免費電子信箱。不同信箱用於與不同人員通信,而不要使用單一信箱與多人通信。 (6)不要在電子信箱內建立通訊錄。 (7)不要在電子信箱內儲存已發出的郵件和接收到的郵件。 6.關於上網安全: (1)每次清除"查看"中"Internet選項"裏的"清除歷史記錄"。 (2)每次清除"瀏覽-Windows"中"Temporary Internet Files"的文件和cookie 等。 (3)據說,有許多link或log文件會含有上網的記錄,請了解相關技術的學員提供技術解決方法。 答:運用前面提到的清除方法後,筆者尚未發現還有*.lnk及*.log文件包含任何上網信息;註冊表中也未發現(可運用「搜索」功能在「硬盤」或「註冊表」中搜索,仔細查找)。請其他學員再注意。 7.真相材料的散發渠道: (1)儘量保護好能夠上網的學員,採取單線聯繫或者知道的人越少越好。能夠直接上網的學員最好自己不要直接去發傳單。因為這是非常重要的一環。現在上網越來越難,損失掉這樣一個學員就有可能使相關的一批學員無法及時拿到大法的資料,就有可能使許多有緣人失去了解真相的機會。 (2)從上網學員處拿到材料的學員在向其他學員分發材料時,最好還是採用單線傳遞的方法,或者每次只讓一個學員來去。不要起歡喜心,把許多學員都叫來一起拿,也不要講自己材料的來源。 (3)特別注意,當接到陌生人謊稱學員的電話或者是相當一段時間沒有接觸的學員打來電話問有沒有新經文時應該迴避,因為這很有可能是特務藉機探聽資料來源的陷阱,切不可因歡喜心而草率暴露。 (4)學員散發材料傳單時不要在同一地點、同一時間出現兩次,不要穿相同的服裝,也就是說,不要表現出規律性。每次散發材料前應該計劃好並控制好材料的數量,不要一次貪多,因起歡喜心而臨時改變計劃。 (5)最好不要在自己的住宅樓或辦公樓內散傳單,因為這在技術上很容易查到。學員之間交叉做更好。 (6)給外地寄材料時,應該手寫信封,留虛擬發信地址,因為打印的地址信會被拆檢。寫地址最好讓人代寫,特別是那些被抓過的學員筆記容易暴露。 (7)不要使用兩封以上相同的信封在同一個郵局或郵筒寄信。而且最好到離家遠一點的郵筒郵寄。不要一次在同一郵局買大量相同的信封。 8.被抓怎麼辦? (1)如果預知有被抓的危險,應該及時轉移計算機、打印機、複印機、傳真機和大法材料。 (2)如果必要的話,搬家及更換工作。 (3)不要隨身攜帶電話本,每天外出時僅用一張紙抄寫當天要用的電話號碼。 (4)手機應該設密碼,緊急時關閉手機。 (5)呼機和手機中不存學員的電話號碼。 (6)將購買手機和呼機的登記卡、發射號和密碼等信息事先留給家人或朋友, 以便出事後可以終止手機和呼機服務,儘量減少波及其他學員的可能。 (7)被抓後被問材料來源:材料就是早晨被發現在門口放著呢,不知道是誰放在那的。這樣的信息足能使邪惡順藤摸瓜的伎倆失敗。 (2000-12-31整理)
|