【匿名上网】通过LiveCD制成USB启动盘上网！

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

场景假设：
某天晚上，你正在睡觉。共产党突然破门闯入，把你带走，搜查你家，没收了你的手机和电脑。
对你严刑拷打，要你交出密码，然后对你手机和电脑里的内容做检查。
如果你电脑里有SS，v2ray，tor等软件，肯定就没救了。。。
当然了，你曾经使用过这些软件，卸载以后，也是可以查到的

我的解决办法：
平时工作生活，只要正常使用自己的电脑就可以了！不会令人起疑。
需要做敏感操作的时候，则使用LiveCD U盘。
所谓的“LiveCD”，即可以直接引导为可用 Linux 系统的 USB。与大多数广为应用的 发行版本中可以使用的“拯救模式（rescue mode）”引导选项相反，这些 LiveCD 的设计是，当从 USB 引导起来后，提供一整套 可以使用的工具，其中有一些是通用的，有一些是高度专用的。
根据评论，我这里推荐使用Tails操作系统。
一旦遇到紧急情况，比如警察破门而入，或者其他的时候，迅速把U盘冲马桶，这样就可以毁掉证据了。
他们带走的是一台没有任何敏感数据的电脑。敏感数据已经不存在了！！！

完整步骤：
1.安装Tails操作系统，并安装好SS，V2Ray等你需要的软件
设置一个密码！！！

2.根据下面教程把刚才安装的操作系统，定制成自己的LiveCD（你们理解自己做了个ghost就行）

https://help.ubuntu.com/community/LiveCDCustomizationFromScratch

2.平时上网，用liveCD启动电脑【这样硬盘上不会有敏感数据】

所有敏感操作都在LiveCD环境下进行，不要使用真实操作系统！

LiveCD环境下，不要安装国产软件，或者登录国内网站

3.如果遇到突发事情【国安检查电脑】，把这个装有liveCD的U盘直接冲马桶下水道里

故，u盘越小越好

！！！高危警告！！！

我知道很多人，都被政府没收了电脑或者手机

我的方法，是用来规避警察收集证据用的

U盘最好很小，指甲盖这样的，方便下水道流入大海

U盘越薄越好，过海关的时候，藏在钱包夹缝里，或者或者其他小盒子的暗格

例如，买个八音盒，放到抽屉里，用胶带纸贴在抽屉内侧的天花板

相对我个人：

我个人是买了一个项链U盘，平时看和项链一样，一般不会被人当U盘

过海关，也不会把项链拿下来检查

我再想想有什么需要补充的。。。我打算写的细一点
主要是把你们都当间谍培养了！

品葱用户 恐怖分母林郑月娥 评论于 2019-11-22

LiveCD的话，我推荐用Tails。缺点就是它用的Tor在国内用有困难。
不过如果愿意折腾一个翻墙路由，也不是什么问题。
和一般的LiveCD比，我发现Tails有很多特别设计的功能。比如你拔下U盘它会立刻关机，而且清理内存。这在出事的时候很有优势。

我反对「仅仅」销毁U盘的做法。隐藏的东西总是能找出来的。冲入下水道的U盘也是可以找回来的。而且要命的地方是：它还可以用（但你那时候已经无法控制它了）。

相反，可以用另一种思路：不要试图销毁设备，要销毁密码！

好多设计完善的加密系统，密码丢失就只能重头再来。可以从磁盘加密开始做起。销毁密码的办法就有很多。比如买一张糯米纸，密码写在上面，有情况就吞下去，到时候硬盘就变成了一块垃圾，就算是神仙来了都没法帮你解密。

品葱用户 包子又滞销了 评论于 2019-11-23

除非葱友是计算机相关专业的，不然很很难用得惯linux系的系统，windows还是万事小心为好。

品葱用户 **klklkl

恐怖分母林郑月娥** 评论于 2019-11-22

LiveCD的话，我推荐用Tails。缺点就是它用的Tor在国内用有困难。不过如果愿意折腾一个翻墙路…

斯诺登爆料时，用的就是tails系统。用tails系统的话，不加密u盘没关系吧（不往u盘放文件的话）？

品葱用户 吃瓜看戏 评论于 2019-11-22

项链走X光时可能暴露，推荐mini U盘放入无线鼠标背面的特殊插鞘处

品葱用户 klklkl 评论于 2019-11-23

还有，斯诺登除了用tail系统外，和记者联系时，教对方用非对称加密传送文件。另外，斯诺登用的wifi，是他开了一辆装了破解wifi密码工具的车，到处在街上游荡，用的别人或商场的wifi。

品葱用户 立紗Lisa 评论于 2019-11-22

@恐怖分母林郑月娥
@包子又滞销了
@klklkl
@吃瓜看戏

本文目的，不是讨论用什么操作系统做LiveCD，Windows可以用windows to go
我想说的是，如果共产党突然没收你的电脑，带回去检查，就会查到你翻墙的证据！
你们需要提前做好预防工作！

不是教大家翻墙，是教大家匿名上网！

-—
1.根据大家的反馈，我会加入到Tails这个操作系统
2.我这里讲的是在已有的操作系统基础上增加新的软件【例如SS】，制成自己的LiveCD
3.数据传输，肯定是对称加密，非对称加密只会被用来交换密钥！
但是，交换密钥，其实也不知道对方是不是靠谱，又需要用到X509v3证书链。。。
整个过程很复杂
你说的，应该是i用GnuPGP来生成密钥对，传给对方密钥对，然后做对称加密

品葱用户 支持品葱 评论于 2019-11-23

支持一下。
只是，这样的操作是很高级别的防护措施了。普通人，还真用不上。
对于大多数的人来说，少说多看不仅体现在网络上，在实际的生活中，也必需是这样。

品葱用户 **立紗Lisa

支持品葱** 评论于 2019-11-22

支持一下。只是，这样的操作是很高级别的防护措施了。普通人，还真用不上。对于大多数的人来说，少说多看不…

我的方案，用来保证的是高敏感用户啊。
但是，操作上，并不是很复杂啊。大家不用怕的~
我可以教一些间谍技巧！
培养更多高阶反贼

品葱用户 沉默的广场 评论于 2019-11-23

这种信息安全问题最好参考编程随想君的博客

普通人可以考虑用vert crypt加密逻辑磁盘，然后在加密盘中再开一个隐藏卷，足以应付一般水准的检查。

对于会被刑讯逼供的高危人士，遇到警察上门（你可能只有几十秒的时间）直接擦除隐藏卷密钥或者keyfile即可。

品葱用户 **立紗Lisa

沉默的广场** 评论于 2019-11-22

~已删除~

品葱用户 **恐怖分母林郑月娥

立紗Lisa** 评论于 2019-11-22

我的目的是不留证据。。。按你说的，留个隐藏盘，公安一下子就发现有隐藏盘了。。。就算，没法恢复数据，已…

这个论证经不起推敲。

你说使用隐藏分区加密会引起公安怀疑。这里看出有几个问题：
（1）那么你用 Tails 和各种无痕上网措施，就不会引起怀疑了吗？讨论的话题到底是什么？
（2）全盘加密和隐藏分区加密是两回事，如果保护得当，公安会发现你在使用加密，但无法证明你在使用隐藏分区。
（3）如果警察已经决定上门找你麻烦，没收电脑，这时候一定是对你已经有所怀疑。你已经暴露了，还假装什么？**你的目的不可能是再隐蔽自己不被发现，而是保护自己的数据，不让警察找到控告你的石锤！**遇到这种情况，你就算什么都不被他们发现，也会被关个几天到几个月。这时候，关键问题不是藏起什么让他们不发现，而是你自己在那种孤立无援、面临强大心理攻势的时候，还能撑多久，怎么撑。

如果仅仅是翻墙，你就让他们查就是了。翻墙的人很多很多，他们挨个办理，没有足够的时间仔细检查你电脑上有什么。我甚至觉得这时候你让他们看出你在翻墙也不是坏事——这样他们的任务就完成了，接下来就是找你谈话、签认罪书之类的。想象下，如果他们拿到上级通报，来调查你，然后一点线索都没有，你觉得他们会觉得自己搞错了，然后轻易放过你？

-— 分割线 —-

keyfile这个做法，不是用来解决匿名上网的。但它可以帮你解决匿名上网之后遇到的一个问题。

Tails这样的系统是设计上健忘的。设计者不建议你在系统里存储任何数据。
但如果你要搞点正式工作，比如来品葱发言，你就不仅只浏览，还要登录。

你的登录密码怎么办？这是你要考虑的问题。

如果你仅仅用脑子记住：那么公安有很多手段可以逼你讲出来。甚至也许你的密码干脆就没有足够的强度，或者你把同一个密码用于多个网站，而别的网站早就脱库、或者有意无意地用明文记录了你的密码——无论哪种情况，都有更多的不稳定因素，让你很容易被攻击。

如果你把密码存在加密盘上：那么你就需要在加密密码之外，还准备一个keyfile（如果不然，就退回到上一条）。keyfile的目的有三个：
（1）可以保证仅仅严刑逼供，也不能解密磁盘，找到对你不利的证据。这是因为keyfile的信息熵非常大，除了找到文件本体，没有其他的办法。而你也根本不可能记住keyfile的内容。
（2）一个很小的keyfile，如果得以销毁，那么公安就绝对没有办法能破解加密。
（3）因为keyfile很小，所以相比于任何销毁存储设备本体的尝试，销毁keyfile要快速而容易得多。你看看平时写入磁盘的速度，就知道任何其他的办法都不足以在几秒甚至几分钟之内可靠地抹去磁盘数据。更不要说可靠本身就要求重复好多遍。

而其他所有物理破坏磁盘的方案，都没有上述办法可靠。磁性存储器（比如机械硬盘）可以在芯片和电路板损坏后用探针的方法恢复数据。你说的U盘等，只要存储芯片健在，被水泡一会根本不是大事。

最后提醒一句：安全领域的问题，从来不是仅仅靠隐蔽、隐藏就能解决的。良好的方案不是靠你能把东西藏多好（包括物理的隐藏和算法的隐藏等等），而是即使这些方案被敌人知道，也无法攻击的时候，才真的叫好。

品葱用户 **立紗Lisa

恐怖分母林郑月娥** 评论于 2019-11-23

~已删除~

品葱用户 **恐怖分母林郑月娥

立紗Lisa** 评论于 2019-11-22

我最后一次回你。。。你真的没必要回复我。。。公安检察电脑，在开机前就会先检查磁盘有没有隐藏盘！有隐藏…

你看来并不理解隐藏盘是什么。我和前面几个人说的隐藏盘，是使用TrueCrypt/VeraCrypt制作的加密文件，或者加密分区。你可以使用一个或者两个密码解密，在你不给出密码的时候，这个分区看起来就是随机的数据，而你给出任何一个密码，都无法证明这个分区可以用另一个密码解密。如果警察威胁你，你就直接打开外面的分区，把里面看似敏感的内容展示给他们。他们即使怀疑你用了隐藏加密分区，也无法真的逼迫你打开，因为你完全可以说根本不存在。

这个做法你可以搜索一下，它有个专门的学术定义，叫做可否认的加密。这不是简单的在分区表上配置分区隐藏之类。另外，这个软件可以让你的电脑存在一个隐藏系统，原理是一样的，但只能给Windows用。

你老是说下水道，有几个问题：1）假如现在公安破门而入，你现在在厕所里吗？2）你以为公安就没有技术监控下水道吗？（用下水道成分抓毒贩了解一下）3）排水系统那么复杂，一个U盘从你家马桶冲到哪里才不可恢复？万一被屎黏在管道上了呢？

你说你扔了U盘，警方就不知道你用了tails。那么，请你现在打开下电脑，你不会忘了在电脑上装一个操作系统了吧？你至少还是需要一个用于伪装的。

至于你说你的数据重要不重要——你再考虑一下。你要一口咬定自己是无辜的，就要自己都相信警方没有拿到你的任何数据来反证这一点。而仅仅把U盘冲进下水道这种，在强大的心理攻势面前，你很可能会自己怀疑自己。我说的这些话和做法，都是有实际例子的。你不仅仅要尽量不留下证据，还要让自己确保任何可能存在的证据都无法被警方查到——而且是在你自己已经打算屈服的情况下也不可以。

品葱用户 **立紗Lisa

恐怖分母林郑月娥** 评论于 2019-11-23

~已删除~

品葱用户 **恐怖分母林郑月娥

立紗Lisa** 评论于 2019-11-22

都说了你不需要回复了。。。VeraCrypt我自己读过源码，不要随便说我这个不知道，那个不知道。以我…

「 以我读过源码来分析，破解可能性很低，但是证明有其他密码，还是不难的！」

能否详细说一说怎么证明？

品葱用户 **立紗Lisa

恐怖分母林郑月娥** 评论于 2019-11-23

~已删除~

品葱用户 **恐怖分母林郑月娥

立紗Lisa** 评论于 2019-11-22

不是我不愿意细讲，只是我不喜欢公开这类敏感的代码而已你愿意信多少就信多少吧…你可以问我verac…

我直说吧，你的声明对VeraCrypt的安全性是一个很严重的“指控”。我不认为光读过代码就能说明这个问题，这个问题应该是有理论的分析才对。所以在有进一步的任何证据之前，我完全不相信你的话。这些话也不需要出现在这里，如果你真的有这个能力，我觉得在知名学术刊物上可以看到你的论文。

品葱用户 heliotrope 评论于 2019-11-23

tails這個東西有沒有方法安裝gui？
這樣可能幫助一些非專業人士操作

品葱用户 **立紗Lisa

恐怖分母林郑月娥** 评论于 2019-11-22

~已删除~

品葱用户 **立紗Lisa

heliotrope** 评论于 2019-11-22

tails這個東西有沒有方法安裝gui？這樣可能幫助一些非專業人士操作

本来就是有GUI的

品葱用户 **恐怖分母林郑月娥

立紗Lisa** 评论于 2019-11-22

VC加密磁盘，有文件格式头的，类似http报文有http头我只要遍历电脑磁盘上所有的文件，检查文件头…

感谢说我钻牛角尖。信息安全是生死攸关的事情，钻不钻牛角尖是一年和十年的区别。

你说「 VC加密磁盘，有文件格式头的，类似http报文有http头」，这句话有什么依据吗？这个文件头是什么样的？请注意，根据VeraCrypt官网的说明：https://www.veracrypt.fr/en/VeraCrypt%20Volume%20Format%20Specification.html ，他们声称的是

「VeraCrypt volumes have no “signature” or ID strings. Until decrypted, they appear to consist solely of random data.」

当然，你可以说，存在一个完全是随机数据的大文件，或者一个完全随机的未使用分区，本身就有嫌疑。我同意这一点。我也从来没有质疑过，说你声称这样的加密不安全。

具体点说，我质疑的是你在前面的声称，「 以我读过源码来分析，破解可能性很低，但是证明有其他密码，还是不难的！」

因为你说你读过源码，我假设你了解VeraCrypt的加密卷设计。你应该知道，任何加密卷是可以有两种状态存在的：A）只能由一个密码解密的普通卷 B）能用一个密码解密外部数据、或者由另一个密码解密内部——隐藏在加密数据之中，但不给出密码就无法证明存在的隐藏区域——的「隐藏卷」的。

这和你反复强调的「被国安知道你有加密文件，不给密码，你会挨揍 」不太一样。这个设计就是为了抵抗这一点的。因为国安永远不可能在没有用户密码的情况下区分A和B两种情况，而用户只给出密码A，国安也无法证明还有密码B。这样国安无法以用户不配合为理由继续胁迫。

这就是我为什么说你声称「证明有其他密码还是不难的」是一个严重的指控。因为这个说法等于否决了VeraCrypt的密码学设计和实现，将会意味着非常重大的安全漏洞。这不代表VeraCrypt的机密性就被破坏，但「可抵赖性」就出了问题。

我希望这些话可以把前面的对话讲清楚了。或者也许你的意思是「证明有其他的加密存储空间」是不难的，这可以理解。但这就返回到一开始的问题：我使用keyfile，销毁访问这些加密空间的途径，让国安和我自己完全断了念想，不是更加安全吗？

（注释：为什么我要把加密存储空间加入话题讨论？因为本贴旨在讨论「敏感操作不留痕迹」。而不登录只浏览的互联网使用方式不属于敏感操作。因此敏感操作要求用户互动：发表言论等。但使用楼主的方案，虽然上网没问题，却无法安全进行登录操作，或者如果做到了安全登录，就不能做到不留痕迹，所以不是实用的方案，需要在加密存储空间一事上作出决定。）

品葱用户 **立紗Lisa

恐怖分母林郑月娥** 评论于 2019-11-22

~已删除~

品葱用户 **恐怖分母林郑月娥

立紗Lisa** 评论于 2019-11-22

1.VC文件头的问题，我的确忘了怎么check。。。我可以回去重新看下那段代码2.我不是密码学专家，…

用密码A解密之后，你看不到隐藏卷的存在，也无从得知是否有这个文件头。你看到的文件头，是外边这个卷的（假如有隐藏卷的话）。你说的 92 8 那一行，是通用格式，并不是说一个外部卷就把隐藏卷的大小也写在那里了。

参考代码 https://www.veracrypt.fr/code/VeraCrypt/tree/src/Volume/VolumeHeader.cpp 第63行。隐藏卷和外部卷是分开创建的，只有你成功解密隐藏卷的时候，才会看到这个大小。

这个页面 https://www.veracrypt.fr/en/Hidden%20Volume.html 上有图示，讲了普通卷和隐藏卷的关系。隐藏卷的文件头，在普通卷或者外部卷文件头后面一个区域里。这个区域要么是完全无意义的随机数，要么是有意义的隐藏卷文件头，如何区分，要看能否用密码解密。（但用户输入密码的时候，不会指明这个密码是A还是B，VeraCrypt总是会假设它是A，如果不成功，再假设是B。）

密码A既没有解密隐藏卷的文件头区域，其解出来的数据，也不包含隐藏卷的信息。所以无法区分。

品葱用户 **支持品葱

立紗Lisa** 评论于 2019-11-22

我的方案，用来保证的是高敏感用户啊。但是，操作上，并不是很复杂啊。大家不用怕的~我可以教一些间谍技巧…

这个想法支持。因为，这个是对技术及安全的更深的追求。

品葱用户 **立紗Lisa

恐怖分母林郑月娥** 评论于 2019-11-22

用密码A解密之后，你看不到隐藏卷的存在，也无从得知是否有这个文件头。你看到的文件头，是外边这个卷的（…

你是对的
不可能根据文件头判断这个文件是VC文件
也不可能根据A密码知道隐藏分区是否存在

品葱用户 test_404 评论于 2019-11-24

将U盘换成SD卡是否可行？个人觉得SD卡比U盘更小，更易隐藏

品葱用户 **立紗Lisa

test_404** 评论于 2019-11-23

将U盘换成SD卡是否可行？个人觉得SD卡比U盘更小，更易隐藏

也行

品葱用户 **jcemao

立紗Lisa** 评论于 2019-11-24

@@@@本文目的，不是讨论用什么操作系统做LiveCD，Windows可以用windows to g…

Tails在大陸不方便的原因好像是它沒有內建SS等翻牆軟體。我試過頂多只能登入系統後再手動設定前置代理，而這個前置代理只能在別處預先準備好，要嘛用雙虛擬機、要嘛用另一台電腦，設置起來應該會很麻煩。

要是Tails內建SS或V2Ray應該會好很多，使用情境類似以下流程：
- 用U盤開機進Tails
- 選擇先不連線，進入系統後才手動連線
- 連上網路
- 用內建的SS或V2Ray連上前置代理
- 在Tor設置使用該前置代理
- 連上Tor網路

內建SS, V2Ray應該都不難做到，或許可以自己加看看，如果沒問題就提交給Tails官方加入新版的Tails。他們應該只是沒人幫忙實做和牆內實測吧。

品葱用户 洋葱路由器 评论于 2019-11-24

楼主说的LiveCD，以前也用过，不过我是在虚拟机上运行的，LINUX系统，自带TOR浏览器。我也曾试过在虚拟机上运行WINPE，ISO光盘自带上网功能的那种，最好不要用装虚拟硬盘，这样只要虚拟机重启或关机后，什么痕迹也不留，另外WINPE不要过于精简，因为这样很多软件就无法运行。

品葱用户 君豪人士 评论于 2020-03-05

学到了，涨姿势。

品葱用户 柏賽東 评论于 2020-04-05

要到警察破门而入的地步，你们平时上网的数据和痕迹早就掌握的差不多了，搞这套对普通人没什么用的，又不是斯诺登级别。

表面上看是要不留痕迹，但我想知道一台没有网卡的电脑是怎么登录上互联网的？你有网卡，你网卡的MAC地址可是唯一的，你连上网的数据包括时间标记在ISP处都是有的，何况真到了那个地步，你首先能享受到的怕就封网封账号了，还用什么Talis。

点击品葱原文参与讨论

最简单好用的 VPS,没有之一，注册立得 100 美金