【明慧网2000年12月31日】 目前公安搜查电脑的主要方式是:1、搜索、察看各种文件的痕迹,这包括搜索、察看各种recent、temp、history、cookies等目录下留存的文件,zip解压路径、播放器播放文件路径等信息,各种缓存甚至win9x、Win2000中交换文件(swap)中的信息、注册表信息、Fat表文件目录等;2、恢复被删除的各种文件,包括恢复从回收站(桶)(垃圾箱)清空后删除的文件、恢复被格式化磁盘中的各种文件等。一般来说,大家都知道要将各种目录下的有关文件删除和清空回收站,但较少有人知道这些“删除”和“清空”并不安全,也不知道windows的swap、注册表中尚有残余信息,也不知道即使磁盘格式化后仍可恢复其有关文件等。所以,如果不采取特别的安全措施的话,只要你在电脑中曾经打开、使用过敏感文件,公安都有可能从你的电脑中找到线索。以下是一些主要的安全方法,供参考,希望其他学员不断补充、完善。 一、首先安装好二个软件:1、超级兔子魔法设置MagicSet3.4,有win9x(包括WinMe)版和win2000版,实际上只要将其解压到一指定目录(如MagicSet),再执行MS98.exe或Ms2000.exe即可。2、CleanDiskSecurity4.73及其汉化版,先将Clndisk473.zip解压到一指定目录,然后先执行Clndisk.exe(安装英文版),再执行汉化文件Pclndisk473.exe对其汉化,最后依汉化说明复制eraseex.dll到相应安装目录。Windows9x的DOS模式可在起动机器时按F8键,选Command Prompt Only;Win2000和WinMe的Dos模式就比较麻烦一点了,要用DOS软盘或其启动盘起动,当然若有双起动就容易多了,就可以在一个系统中复制另一系统中的eraseex.dll。 上述两个软件都有一部分免费使用功能,对于我们来说基本够用了。当然,有条件的学员可到有关地方注册或购买完全版。 二、硬盘中各种垃圾的清理,包括各种recent、temp、history、cookies、temporary等目录下留存的文件,zip解压路径、word和winpad(写字板)最近编辑文件的路径、播放器播放文件路径等信息。先起动MagicSet: (1)点“多用户”,选中“不显示最后上机的用户名称”。 (2)点“清除垃圾”,上下两个框中的内容都全选中,再选中“关机时自动清除文档菜单”,点最下面的“清除” (可选移动到回收站或直接删除),注意不是中间的“立即清除” (它只是清除其左边框中的内容) 三、手工进一步清理点磁盘中的recent和cookies等目录中的垃圾: 1、点任务条上的“开始”,选搜索,选文件或文件夹,在“要搜索的文件或文件夹名”栏中填上recent,然后点“立即搜索”。搜索完后会发现\windows\recent目录下的内容是没有了,但\windows\application data\microsoft\office\recent等目录中仍然有不少内容,这是因为使用Magic Set等软件清除垃圾时,一般只是清除\windows\recent目录中的内容,而一般也较少有人知道office中也有recent目录。如果是使用win2000,则还会看到其他的recent目录。这时应将这些recent目录一一打开,若有内容则全部选中,按鼠标右键,选“完全擦除(fully erase)”(安装完CleanDiskSecurity4.73后会自动在鼠标右键的菜单中加上“完全擦除(fully erase)”选项)。注意:这一步很重要,许多资料都在office的recent目录中;要删除recent目录中的内容,而不是recent目录本身;如果是WinMe系统,则千万不要删除RecentHelpTopics.htc文件。 2、在“要搜索的文件或文件夹名”栏中换填上“Cookies”(注意:不是Cookie),再点“立即搜索”。完成后有时也会发现还有一些“Cookies”并没有清除掉(主要是在WinMe和Win2000中),这时可按上述方法将剩余的Cookies完全擦除。注意:要删除Cookies目录中的内容,而不是Cookies 目录本身;如果Cookies目录中只剩下一个文件“index.dat”,就不要删了(不要选它,也删不掉),这是系统保留的有关资料文件,没关系。 3、在“要搜索的文件或文件夹名”栏中换填上“Temporary”,再点“立即搜索”。完成后有时也会发现在一些Temporary 目录下也还有“Cookies”并没有清除掉,这时可按上述方法将剩余的Cookies完全擦除。注意:这个目录有些特别,若是双启动系统,则每个系统都会在另一个系统中有关Temporary目录中留下自己的有关Cookies,且在每一个系统中也只能看到和删除本系统中的有关Cookies,因此,必须在每个系统中使用一次本方法。 4、在“要搜索的文件或文件夹名”栏中换填上“History”,再点“立即搜索”。完成后有时也会发现在一些“History”目录中还有一些内容没有清除掉(主要是在WinMe和Win2000中的“今天”子目录下的内容),这时可按上述方法将剩余的内容完全擦除完。注意,只删除“History”目录中的有关内容,不要删除某些“History”文件,特别是WinMe系统,有较多的“History”文件,千万不要删除。 四、清理注册表中其他的垃圾信息(即user.dat等注册表文件中的有关垃圾信息): 主要是指打开或察看软盘上的文件后,不管后来有没删除,注册表中会保留一定数量的文件名称。这时应启动MagicSet,点左边往下数第三个甲虫图标“注册表扫描”,再点“注册表扫描”选项,先点“备份”(将注册表备份一份,以便出错时恢复注册表),选中5、6、7方框(打上钩号),点“扫描”(此时软驱中应没有软盘),扫描完后点“清除”。 五、清除已删除文件的痕迹。 一般的文件删除,实际上只是注销FAT表中的文件目录,文件真正位置上原来的内容并没有被删除,他们仍然还在原来的位置。如不在这些位置上写上新的内容,就非常容易被恢复。现在有些文件恢复软件的功能十分强大,即使文件原来的位置上被擦写了几次,仍然可将原来的文件恢复出来或部分恢复出来。另外,即使原来文件的位置(存放的具体内容)被擦写了许多遍,已经恢复不出来了,此时也未必是最安全的时刻。因为FAT表中原来文件的名称还有可能被恢复(FAT表是用来存放电脑分区资料、文件目录名称等资料的),因此,还要擦除FAT表中文件名称的有关资料。所以要使被删除文件不被恢复,只能是将文件原来存放的位置及其在FAT表中的目录名称擦除多次,这样才能达到要求。现在具有这样擦除功能的软件已有一些,但功能较强、又是免费、又是汉化版的不多。笔者认为CleanDiskSecurity4.73及其汉化版基本能满足需要。下面就简单介绍其使用方法:(第一次使用该软件之前可先进行磁盘碎片整理)启动“clean disk security”(安装完后,点“开始”,指“程序”,指“Clean Disk Security”,点“Clean Disk Security”;也可先在桌面上建一个快捷方式),点“关于”,点“注册”,填入注册码,按“确定”退出;点“配置”,选中“擦除FAT表中任何时候删除的文件名称痕迹(较慢)”;如是Win2000,再选中“退出时清除交换文件中的信息”;取消“维护操作日志文件”,按“确定”退出。再选中“清除最近的文件目录”及以下的各选项,在方式中,选“Gutmann方式(35遍)”,点“清除”。 注意:最后一项“清除视窗系统交换文件”功能在WinMe中尚不能实现,笔者也尚未找到解决办法,即使使用WinMe的Dos补丁也不行,也许要使用其更高的版本,特别是第二项“清理文件闲置空间”功能更不能在WinMe中使用,千万不要点选;不过,若是先运行了磁盘碎片整理,并运行了本软件的其他擦除功能,则第二项功能不使用也可以,请其他学员对此补充、完善。接下来Win9x和Win2000的用户,可选中第一、二项,再按“清理”;WinMe的用户就只能选第一项来清理了。清理第一、二项的时间要很长,建议晚上让电脑独自运行,因一般要两个小时以上。通过运行上述清理,以后要删除敏感性文件时,只要点击鼠标右键,按“完全擦处(fully erase)”就可以了。第一次使用过该软件后,以后一般可只使用第一、二项以外的功能,第一、二项功能可根据需要使用。 擦除已删文件在FAT表中的名称(第一次使用,适合Win9x及WinMe):选择好磁盘号,点“查看”,点“目录”,点“擦除所有已删除文件的名称”。 注意:上述提到的各种方法(一至五项)最好按顺序执行。 六、关于上网安全、电子邮件安全的办法,请参看明慧网上的其他几篇文章,这里再补充几点: 1、关于安全代理。 在“关于网络安全的若干问题”一文中曾经提到过寻找安全代理的方法,这里还有另外一个较简单的办法。即我们可到http://cachenow.virtualave.net/forum/index.html(代理服务器论坛,目前不用代理也可以连接上)上直接查找,该论坛上有代理服务器列表,还有另一个带“ssl”加密的二重代理https://lesser-magoo.lcs.mit.edu/px.html等。查找一般代理时,先点“代理服务器列表”(此时需要使用代理才能进去,因换成了日本的地址),注意,进去后其网页是日文版,也许有些学员的浏览器不能够正常显示,不过英文部分还是会正常显示的,所以有些地方是乱码没关系,直接点“Proxy Speed Ranking(按速度快慢排列的代理)”,然后按顺序试用就可以了。不过要注意,须选那些有“Anonymous(匿名)”特性的代理,而不要选那些“Non-anonymous(非匿名)”的代理。当然,你也可以自己再检测一下(点Check)。该论坛提供的Anonymous代理一般都会是国外的安全代理,大家可放心使用。另外,也可到http://tools.rosinstrument.com/proxy/网页上直接查找,该网页每天都提供大量免费、匿名且有ssl安全的代理服务器。先点“Last 200 recently checked hosts sortered by speed(最近检测的按速度排列的200个代理服务器)”,然后可按顺序选试。但要注意,原来可以直接在该网页上检测“匿名”、“ssl安全”、“whois(是谁,即代理的地址或国度的检验)”等信息,现在不行了,要先注册才可以(有条件的学员可先注册);所以只好按顺序选择,再到http://cachenow.virtualave.net/forum/index.html(代理服务器论坛)上或使用其他办法一个一个去检测了。现在国内安全部门已在提供假代理,学员要特别注意检查代理服务器的地址。 2、关于电子邮件的安全。 后来明慧网上有学员提供了可对邮件内容加密的安全办法,从加密的程度来看,邮件的内容的确很安全了。但也要注意,不要使用此方法从国内任何邮局发信,而要到国外的免费Web邮局上使用此方法。因为,当你在国内邮局上发信时,虽然别人不知道你信的内容,但可查到信发往什么地方以及信是从什么地方发的,这样也容易暴露自己。若是在国外的免费且具有加密功能的Web邮局上使用此方法发信,他们就很难发现了。另外,这个方法比较复杂,可能较多的学员较难掌握。在“关于网络安全的若干问题”一文中曾经提到过用“普通安全代理+(国外安全)匿名邮件”发信的方式,虽然其安全程度稍低点,但比较简单,且有“SSL”加密,一般也难以破解,如果学员没有准备好第一种方式,仍可使用此种方式发邮件。不过,www.anonymizer.com上的匿名邮件已不再免费了,须使用其它的安全匿名邮件程序。当然,如果你的电话或上网账号已经被监听,则无论使用哪一种方法发邮件都不安全了,此时应到别的地方或使用别的方法上网。如可购买163上网卡,再加上一台掌上电脑(如联想的天玑2000,掌上通2000_B等,约1500-2000元),就可到其他任何有电话线的地方上网了。目前国外较好的免费匿名(可隐藏IP)邮局主要有:www.fiberia.com、wwww.netaddress.com等,但要先在这些邮局开设一个免费邮箱。大家可先进入这些邮局开设一个免费邮箱,然后设置好普通安全代理(注意普通安全代理与匿名邮局的配对,可能要多试几组,普通安全代理+二重代理https://lesser-magoo.lcs.mit.edu/px.html可与www.fiberia.com配对使用),连上后即可在Web上自己的邮箱中直接发邮件了(最好用附件的形式,压缩成ZIP文件)。具体也可从其中的一个邮箱发到另一个邮箱,再由另一个邮箱(具有转信功能,点邮箱中的“forward”)转到明慧网的邮箱。关于免费的匿名邮局,大家可用“anonymous email,free”字符串在各种搜索引擎上查找,若有更好的不妨再公布。 3、现在网上的有关资料变化较快,如:原来www.hotmail.com没有安全加密,现在也有了“SSL”加密(但发邮件还是没有隐藏IP);原来http://tools.rosinstrument.com/proxy/网页上可免费查到各种安全代理,现在不行了;原来在www.anonymizer.com上可使用免费的匿名邮件,现在也不行了,等等。所以希望学员也要经常注意网上的各种变化。 七、另外注意几个问题: 1、关于垃圾信息清理软件,还有“windows优化大师”也比较好,但该软件在WinMe中使用较危险,容易出现意外错误;如果是使用Win9x或Win2000也可配合使用此软件。 2、关于磁盘擦除软件,也还有比CleanDiskSecurity4.73更好的,但其它软件要么是英文的(没有汉化版),要么需要付费,要么其免费功能很弱,等等,就目前情况看,一般学员使用CleanDiskSecurity4.73及其汉化版较合适。 上述软件的获得:可从国内的“华军软件园”(http://www.newhua.com/index.html)中,在“软件分类”的“系统软件”下的“系统设置”和“系统安全”两项中查找。也可到superrsoft.com上找“Magic Set”。 3、要使电脑处于较安全状态,还要注意到:①不要在电脑中存储任何敏感文件,即使是加了密的也不可,因为一般文档的加密比较容易解,如office,zip等文档都有专门的解密软件(要付费的正版)。②每次下网后退出电脑前都要清理一次敏感的垃圾资料,不要嫌麻烦。③千万不要以为给电脑设了CMOS密码(开机密码),windows登陆密码,或锁定系统密码(如Lockdown等软件)等就万事大吉了,这些方法对安全部门来说一点用也没有,如他们可将你的硬盘取下放到另一台机上作为从盘,这样上述密码几乎一点作用也没有。④不要认为在电脑中用一般删除命令或清空了回收站或在DOS状态下使用了Delete、Deletree等删除命令就安全了,要使用前面提到的“完全擦除”方法才安全。⑤使用windows中的文件碎片整理可在一定程度上保证被删除文件的安全,但远远不够。因为有些被删除文件要是其位置刚好在磁盘资料区的最后,则即使是进行文件碎片整理后也不会覆盖其位置;另外,文件碎片整理后也只是对被删除文件原来的位置最多进行几次覆盖,还有较大的可能性被恢复,最好还是要使用前面提到的“完全擦除”方法,如是擦除了35遍,则几乎是没可能再恢复了(到目前为止,还没有资料显示擦除35次后还可以恢复)。⑥养成良好的安全习惯,并经常参看网上介绍的其他安全办法。 附:其他安全办法:(由其他学员提供,笔者以“答”的形式提供一些完善方法) 1.Word文件: (1)删除属性中的"作者"和"公司"栏的信息;此信息在选中Word文档,点右键,选择"属性"的"摘要"中会一览无余。国外学员在给国内学员发送电子邮件时如果带有Word文件的附件也应该注意这一点。 (2)我们发现只是简单删除Word文件属性中的"作者"和"公司"栏的信息时,"摘要"中的相关信息可能被清除了,但是在"统计"一页的"上一次保存者"中仍然可能暴露作者的身份。(请相关学员提供更好的解决方法) 答:在word97中:打开word97,打开要修改的文件,点“工具”菜单,点“选项”,点“用户信息”,在“用户姓名”栏中随便填入一个不容易被人认识身份的字母;再点“保存”,选中“自动保存时间间隔”,在时间栏中选“1”分钟;在要修改的文件中的某个位置随便输入几个空格,然后等待一分钟,让系统自动保存一次,最后保存退出。此时,文件属性中“统计”一页中的“上一次保存者”就会变成你刚才改过的新名称。注意:一定要让系统自己自动保存一次后改动才有效;为了安全,你以后正常使用word前应将用户姓名再改成别的名字。 在word2000中:改动较word97容易,打开word2000,打开要修改的文件,点“工具”菜单,点“选项”,点“用户信息”,在“用户姓名”栏中随便填入一个不容易被人认识身份的字母,在要修改的文件中的某个位置随便输入几个空格,然后保存退出。在word2000中,文件属性中没有“统计”一项内容,同样信息是包括在“摘要”栏“的“最后的保存者”中。上述改动后,“最后的保存者”就会变成新的名字了。 (3)我们发现使用记事本书写短信息作为电子邮件的附件比较安全,属性中不含任何作者信息。 (4)请将Word"工具"的"选项"中,将"常规"一页上的"列出最近所用文件数"设定为空白,以避免公安查抄计算机后发现任何文件线索。 2.关于文件的存储: (1)文件的名称:建议使用ABC字母或数字等无逻辑意义的自编文件名,自己明白即可,不要直接用网上文章的原标题作为文件名,特别注意不使用汉字文件名。 (2)文件的存储位置:最好不存储到硬盘上,而是使用软盘。据说安全部门使用专业软件,可以查到那些已经从硬盘中删除的文件或文件痕迹(请了解相关技术的学员补充)。 答:使用软盘时也要注意,首先,保存在软盘上的文件应设密码,以防万一被发现时,别人也不容易打开查看(zip、word文件容易设密码;从网上下载的网页文档*.htm、*.html应先将其压缩成zip文件,然后再存储)。其次,每次从软盘上浏览完文件后,会在注册表中留下文件名的有关资料,应运行MagicSet,按前面提到的“注册表扫描”方法清除。 要在硬盘上删除敏感文件,应按前面提到的方法,按鼠标右键,按“完全擦除(fully erase)”(先安装CleanDiskSecurity4.73)。 3.计算机内的文件: (1)如果文件必须放到硬盘上进行操作,那么操作完成后应该将文件从硬盘上删除。再使用文件时可从软盘调用,不要怕麻烦。 (2)每次关机前,清空回收站。不知道是否已经从回收站清空的文件仍然有可能被专业软件发现痕迹或重新打开(请了解相关技术的学员补充)。 答:见前面。 (3)每次关机前,用鼠标右键点视窗"开始"栏右边空白处,然后选择"属性"中"开始菜单程序"一页,对文档菜单进行清除。这样视窗"开始"的"文档"中就不会显示近期所打开的文件清单。作用与1(4)同。 答:在MagicSet中设置了“关机时自动清除文档菜单”后,以后电脑会自动清除“文档”中的内容,可不必每次使用此方法。但还要特别注意,Office有关“recent”目录中还会有类似的内容,需按前面提到的方法清除。 (4)我们发现计算机内还有许多隐藏性文件和link文件会含有上网的记录,不知道如何删除,例如windows中的user.dat文件是隐藏性文件,不知道如何修改或删除。繁请了解相关技术的学员提供技术解决方法。 答:可运用MagicSet中的“注册表信息清理”、“清理垃圾”清除,但可能不够彻底,还在仔细查找。 (5)因此,保护好触网第一人是非常重要的。在必要的时候,如果没有其他更好的方法,请将计算机转移他处,或将计算机硬盘格式化是最后的解决方法。 答:即使格式化硬盘后,只要没有再装入新的文件,或没有全部将原来的文件资料覆盖,要恢复原来的资料仍然很容易。最好是使用前面提到的“擦除”软件。 4.文件的打印和复印: 据说安全部门会用技术手段核对传单出自哪台打印机或复印机。因此, (1)文件打印最好使用最通用的宋体,不要使用自己计算机特有的非常规字体。 (2)每次打印纸的边距可调为与默认设置不一样的规格。 (3)使用最通用的打印纸。 (4)注意打印机和复印机不应该有什么打印特点,例如在页面的某个位置上有墨点,或者是白道等。 5.关于电子邮件: (1)不要直接在邮件正文中写重要文字,重要文字应该放在附件中,附件最好用记事本写,zip后安全性更好。 (2)邮件标题最好使用英文或者指示性不强的内容,不要直接用网上文章的标题,也不要使用自己的名字做邮件标题。 (3)创建电子邮件地址时不要在前面的字符串中包含自己的姓名。 (4)给人回邮件时,不要使用自动回复的功能(包含太多的收发件人信息和原邮件内容)。 (5)最好为自己多建一些免费电子信箱。不同信箱用于与不同人员通信,而不要使用单一信箱与多人通信。 (6)不要在电子信箱内建立通讯录。 (7)不要在电子信箱内储存已发出的邮件和接收到的邮件。 6.关于上网安全: (1)每次清除"查看"中"Internet选项"里的"清除历史记录"。 (2)每次清除"浏览-Windows"中"Temporary Internet Files"的文件和cookie 等。 (3)据说,有许多link或log文件会含有上网的记录,请了解相关技术的学员提供技术解决方法。 答:运用前面提到的清除方法后,笔者尚未发现还有*.lnk及*.log文件包含任何上网信息;注册表中也未发现(可运用“搜索”功能在“硬盘”或“注册表”中搜索,仔细查找)。请其他学员再注意。 7.真相材料的散发渠道: (1)尽量保护好能够上网的学员,采取单线联系或者知道的人越少越好。能够直接上网的学员最好自己不要直接去发传单。因为这是非常重要的一环。现在上网越来越难,损失掉这样一个学员就有可能使相关的一批学员无法及时拿到大法的资料,就有可能使许多有缘人失去了解真相的机会。 (2)从上网学员处拿到材料的学员在向其他学员分发材料时,最好还是采用单线传递的方法,或者每次只让一个学员来去。不要起欢喜心,把许多学员都叫来一起拿,也不要讲自己材料的来源。 (3)特别注意,当接到陌生人谎称学员的电话或者是相当一段时间没有接触的学员打来电话问有没有新经文时应该回避,因为这很有可能是特务借机探听资料来源的陷阱,切不可因欢喜心而草率暴露。 (4)学员散发材料传单时不要在同一地点、同一时间出现两次,不要穿相同的服装,也就是说,不要表现出规律性。每次散发材料前应该计划好并控制好材料的数量,不要一次贪多,因起欢喜心而临时改变计划。 (5)最好不要在自己的住宅楼或办公楼内散传单,因为这在技术上很容易查到。学员之间交叉做更好。 (6)给外地寄材料时,应该手写信封,留虚拟发信地址,因为打印的地址信会被拆检。写地址最好让人代写,特别是那些被抓过的学员笔记容易暴露。 (7)不要使用两封以上相同的信封在同一个邮局或邮筒寄信。而且最好到离家远一点的邮筒邮寄。不要一次在同一邮局买大量相同的信封。 8.被抓怎么办? (1)如果预知有被抓的危险,应该及时转移计算机、打印机、复印机、传真机和大法材料。 (2)如果必要的话,搬家及更换工作。 (3)不要随身携带电话本,每天外出时仅用一张纸抄写当天要用的电话号码。 (4)手机应该设密码,紧急时关闭手机。 (5)呼机和手机中不存学员的电话号码。 (6)将购买手机和呼机的登记卡、发射号和密码等信息事先留给家人或朋友, 以便出事后可以终止手机和呼机服务,尽量减少波及其他学员的可能。 (7)被抓后被问材料来源:材料就是早晨被发现在门口放着呢,不知道是谁放在那的。这样的信息足能使邪恶顺藤摸瓜的伎俩失败。 (2000-12-31整理)
|