test1 发布的帖子

设置主页为 recent?cid[]=2&cid[]=3 的截图

注意有些 CDN 使用上述的host-rules命令行不需要设置安全例外，可以直接正常链接，比如本站的 Gcore CDN，再比如 Github Pages 也可以
chrome.exe --host-rules="MAP www.pkuanvil.com gcore.com, MAP *.github.io shopify.github.io"

命令行选项 --ignore-certificate-errors 会让 chrome 忽略所有网站的 https 证书错误，但这样做是不安全的（chrome 如果发现这个选项会在浏览器主页显示警告），最好只给 github.com 等一部分网站设置例外，其他网站正常连接

github-https-exception-1.png

github 的命令行选项
--host-rules="MAP github.com G11, MAP *.github.com G11, MAP github.githubassets.com G11-1, MAP raw.githubusercontent.com 185.199.109.154, MAP user-images.githubusercontent.com 185.199.109.133, MAP *.github.io shopify.github.io" --host-resolver-rules="MAP G11 20.205.243.166, MAP G11-1 185.199.109.154"

（其中 G11 和 G11-1 是两个乱起的名字，可以任意替换，比如替换成 Alice 和 Bob 之类的也可以）

需要在浏览器里面手动访问 https://github.com ， https://github.githubassets.com ， https://raw.githubusercontent.com ， https://user-images.githubusercontent.com 这几个网址并手动设置例外，如下图所示

update: MAP raw.githubusercontent.com 185.199.109.154，ip地址的最后一段不是 153 而是 154

source：

• 通过配置Chromium系列浏览器启动参数以解决DNS污染与SNI阻断 - NiceBowl的博客
• 聊聊那些解决SNI阻断的工具们 - NiceBowl的博客

Windows 上直接仿照第一个链接里面的 bat 脚本就行

如题，必须是基于 chromium 的浏览器，常见的是 chrome 和 edge

chrome.exe --host-rules="MAP www.pkuanvil.com gcore.com"

这个方法实际上是强迫浏览器发送一个错误的 SNI 域名，依赖 CDN 支持加上 CDN 官网的域名 gcore.com 没有被阻断（创站初期选择 gcore 除了免费 1T 流量以外支持这种伪装也是原因之一，算是留下的一个后手），至少目前是可行的

当然这不能替代一个翻墙的工具，因为多数 CDN 并不支持 SNI 域名的伪装

Update：因为 gcore 大量 ip 被封，此方法可能有效程度不高。（但对于 github 应该是长期有效的，因为 github 的 ip 没有被封）你可以尝试强行让 gcore.com 解决到特定 ip，例如

chrome.exe --host-rules="MAP www.pkuanvil.com gcore.com" --host-resolver-rules="MAP gcore.com 120.28.10.46"

有 ipv6 的话可以试试 ip 地址 2a03:90c0:9994::9994

Update: #755 - 使用 chrome 浏览器 SNI 伪装免代理上部分 GFW 被墙网站（更新规则文件和启动脚本）

https://web.pkuhollow.com/##106858
#106841
以下是一些可供参考的外部链接，有助于一般学习：
Privacy Tools Guide——这里有很多保护隐私的即时聊天、翻译服务等，是否开源、支持的操作系统情况以及广告情况等都会有所标注：
https://www.privacytools.io/
类似Privacy Tools Guide的PRISMBREAK：
https://prism-break.org/en/
一个不知名博客：
https://program-think.blogspot.com/
《数字极权时代生存手记》——基本的数字移民或数字行动指南，包含社会工程学层面匿名导论：
https://reconsidera.github.io/#/
Digital-Privacy——特别全面的手册，对于个人敏感信息查询,保护措施,开源信息收集(OSINT)对抗：
https://github.com/ffffffff0x/Digital-Privacy/
现代隐私保护指南——提供一套较为完整的隐私保护方案，侧重于匿名：
https://archlinuxstudio.github.io/ModernSecurityProtectionGuide/#/
Anti-1984，抵抗国家机器对公民的监控（但是作者的”权证金丝雀“似乎”飞走了“）：
https://gitlab.com/mdrights/digital-rights
以上参考链接仅因在技术方面各有所长而得到推荐。
对于其中的技术建议，宜量体裁衣；读者应独立思考，有所扬弃，明辨是非！
（2-10 0:41:39 35关注 5回复）

[Alice] 虽然我大概操作不来，还是码一下
[洞主] Re Alice: 不急不急，日积月累嘛
[Bob] Good find!
[Carol] 建议转载tp洞
[Bob] 我也是这方面爱好者，但是没学过计网和操统，感觉很多基本模型不清楚，还是要学习一下

https://web.pkuhollow.com/##106841
#101346
洞主决定对曾经的一些树洞进行整理，进行新一波的碎碎念……
本系列文章为洞主写作，在保留来源的前提下允许复制转载。欢迎指正谬误。
如有AI协助，将会单独标注
（2-09 20:30:32 17关注 13回复）

[洞主] #99687 #100141 #101346

总而言之

不同的操作系统在安全功能、隐私保护、便利程度上有强弱的差别。例如，极度追求隐私的用户可能倾向于使用Tails这样的Linux发行版，对安全功能要求较高的用户则可以选择Qubes OS（它将各个组件隔离运行）作为系统的基础；若用户仔细检查隐私设置、谨慎安装应用程序，Windows（可用公开脚本屏蔽系统的遥测等）, macOS与常见Linux发行版（非国产）在安全与隐私上仍然可行。目前，Android（非国产）与iOS的安全功能都还不错，而基于Android的开源操作系统有时则能提供更好的隐私保护。反例：有可能监控用户安装的应用并上传至不可信服务器的国产安卓系统，甚至包括欧洲版。
通常建议使用自由与开源软件，它们能够被公开审计，从而降低了暗藏后门的概率。不过，当需要使用较为小众的软件及闭源软件时，请确认它们的开发者值得信任、漏洞能在可接受的时间内被修复。反例：国家监控中心。
当然，不可信的软件可以使用虚拟机隔离或在另一台设备上运行；并且，不可信的软件即使来自App Store, Play Store等，也有可能作恶。
保持良好的使用习惯，仅在官方网站和可信任的软件商城（App Store, Play Store, F-Droid, Aurora, etc.）下载软件，您将很难主动感染恶意与间谍软件。不过，在Windows等常被恶意与间谍软件光顾的操作系统，安全软件是可选项；但安全软件通常具有高权限，请确保其开发者值得信任，不要引狼入室。反例：数字+“安全中心”。
以上的一条原则是，应当清楚自己能够信任谁——某开源软件的社区？某操作系统的开发商？某闭源软件的开发者？某改版树洞的密码数据库与后台人员？
人们常常会预期面临某些风险。如果预期的风险是被偷走手机，那么设置SIM卡锁、开启设备查找和不解锁bootloader是有利的；如果风险是在进行散步时被当场取证，则SIM卡密码是无用的，开启设备查找可能是有害的，但不解锁bootloader可能会带来益处；如果风险是手机自身的操作系统，则解锁bootloader是刷机的必由之路。禁用生物识别？锁屏隐藏通知？具体的防护措施可能会根据设定的威胁模型而产生变化。

[洞主] 进阶（以下是更实用的内容）
使用可信的硬件并了解自己信任了哪些制造商，如有不信任则可更换或列入威胁模型并防范；但更重要的是不用时关闭不需要的功能，如手机仅使用Wi-Fi与Bluetooth时可进入“飞行模式”。
设置一个强密码。如有需要，在Android在“开发者模式”中设置备份密码，取消已信任的USB调试设备，然后确保“USB调试”关闭，如有需要可关闭一切USB连接，最后关闭“开发者模式“；iOS连接计算机设置备份密码，“还原位置与隐私”以取消已信任的设备，并且在“（生物识别）ID与密码”中关闭锁屏时允许“USB设备”选项；iOS与macOS已具有“锁定模式”，可进一步防御本地或在线的黑客或取证攻击，但这将折损性能。
当面临取证威胁时，Android可长按电源键关机，来不及时长按电源键并点击“锁定”进入“锁定模式”；iOS可长按任意音量键+电源键（或连续点击电源键，或长按电源键，都取决于设备）关机，来不及时，长按任意音量键+电源键（同上）即可。这将禁用生物识别（Android还会隐藏所有通知），而关机则将进一步消除内存中较低级别的加密密钥（前提是手机已使用强密码加密），如果不能及时发动冷启动攻击，以目前的技术取证加密数据难度约等于您的肉体强度。
提醒：Android与iOS目前为分级别的加密，部分包括系统文件、日志在内的文件可能不被加密或仅受弱保护。例如，如有国产软件将您的敏感信息分级为最低的“首陀罗”级，就会成为软肋并且可能被成功取证。对于BitLocker, FileVault, VeraCrypt与Cryptomator，理想情况下数据本身都是被加密的。
如果设备在开机时显示验证（安全）启动失败，可能是系统被篡改的迹象（亲自刷机除外）；尽管初始状态的Android, iOS, macOS与Windows都有验证启动，但如果曾被连接至不明设备或取证设备，在有敏感资料的情况下应当刷机销毁之；新的GNOME 43也将警告验证启动的异常。不过，是否信任”验证启动“本身取决于您自己。
Android面临取证的另解是使用“多用户模式”，这仅限于一般的目视检查，使用专业设备的取证将可能发现潜藏的其他用户。
目前，Google可在定向在线攻击（这些攻击有时是国家级的）下保护用户账户，iCloud已提供“高级数据保护”。对于各类云服务，有时需抓住重点进行保护。

[Alice] 问个小白问题，这些操作有没有可能把容易做的直接集成为一个类似于360安全卫士（只是类比，不是说360安全卫士有这么好）的软件
[Bob] Re Alice: 提高安全性是比较难的，需要使用者全力配合 提高隐私性可能难度稍低一些，诸如 LineageOS 之类的应该易用程度是比较高的，再搭配 trime 输入法
[洞主] Re Alice: 有一些操作系统本身就具有全套的安全与隐私保护、甚至是反取证设计，但使用它们本身就是一道门槛。
对于日常使用的系统，只要是可信任的（排除国产安卓系统等），在安全性上已经满足基本要求，用户要做的就是仔细检查隐私设置、定期更新操作系统、谨慎安装应用程序、保持良好使用习惯。进阶的内容，可能更有助于保护隐私，或在一定程度上抵御黑客或数字取证。
当然，互联网上的确有一些公开的脚本（请确保来源可信），可以完成诸如”一键阻止Windows遥测“等任务，不过许多操作还是建议按照设定的威胁模型来决定。
[Carol] Re 洞主: 支持！我发现我国产电脑的windows的TPM不是国内公司产的，是AMD生产的
[洞主] Re Carol: 是的。曾经有一段时间，TPM是受到管制的，且电脑厂商似乎只能使用国产TPM或者不使用此功能；现在的TPM多数已经整合进入CPU，并且得到销售。至少在现在，它们比以前更加可信了！

https://web.pkuhollow.com/##106841
[洞主] #100404
使用友好的浏览器
前文已经介绍了推荐的浏览器、其特性与使用指引，下面将更进一步讲述如何防止DNS泄露与WebRTC泄露——前者可以让运营商窥探您访问的网站，后者可以让恶意网站窥探到您的实际IP地址。这是略微进阶级别的防护，但很重要。

1. Tor Browser早已默认考虑了这些，所以您无需担心
2. Mozilla Firefox（非中国版）：
   根据MozillaWiki，用户为了防止DNS泄露，应在设置->常规->网络设置中启用DNS over HTTPS后，在about:config界面（请认可警告）将network.trr.mode键值由2（首先使用TRR，解析失败时用本机解析器）改为3（仅使用 TRR）。
   根据Mozilla Support，用户为了防止WebRTC泄露，应在about:config界面将media.peerconnection.enabled键值设置为false.
   另一个简便方法是安装uBlock Origin并在其设置界面阻止WebRTC泄露。
3. Chrome or Microsoft Edge
   在这些浏览器，进阶操作可能需要命令行界面。但基础的DNS over HTTPS操作是相似的，防止WebRTC泄露的简便方法也相似。
4. Safari
   Safari默认不会泄露WebRTC。
5. 基于代理或VPN的防护
   可靠的VPN服务通常都会负责防止DNS泄露与WebRTC泄露。欲在Clash代理中防止DNS泄露，请开启Global模式。
   许多VPN提供商都会在自己的网站上提供IPv6泄露、DNS泄露及WebRTC泄露等检测，例如这里。IPv6泄露容易解决，在网络设置中一关了事是最简单的做法。
   这里还要纠正一个错误：Chrome看起来早已使用Windows API来加密储存的密码，用户输入Windows用户密码来解锁它们。

[洞主] 补充：操作系统也可提供系统级的私人DNS，参考这里。
[Carol] 似乎可以用cloudfare的dns服务
[洞主] Re Carol: 具体的服务选择取决于使用情景与服务质量。例如，部分境外加密DNS服务可能受到国家防火墙干扰。

https://web.pkuhollow.com/##106841
[洞主] #100344
安装合适的中文输入法
前文已经介绍了几款不错的输入法，就官方”简易图解“不够简易的问题，下面追加一点：
第4步，输入方案所需文件需要在plum下载，其中
/// 配方一覽 ///->Essentials
下链接中的那些yaml文件是必须的，至于输入方案可以在下面寻找喜欢的下载
如您还有其他相关疑问，欢迎提出！

Android 上 Trime 输入法安装简易图解：

https://web.pkuhollow.com/##106841
[洞主] #101288
保护您的重要文件
前文已经介绍了常见的操作系统加密与具有加密功能的开源软件，以及使用指引、威胁模型和应对概述。下面以专业加密软件VeraCrypt为例，参考了官方Documentation，给出最可能面临的问题。

1. 操作系统和第三方应用程序可能会向系统宗卷写入有关存储在VeraCrypt加密卷中的数据的信息（例如最近访问的文件的文件名和位置）或数据本身（临时文件），或包含该卷的设备名称。关闭操作系统的“快速访问“记录，将VeraCrypt卷安装为可移动介质有助于部分缓解此问题，但最佳方案是使用完全存储在可移动介质上并从可移动介质引导的Tails等系统，不过后者开销较大。
2. 未加密的主密钥和打开的敏感文件内容存储在RAM中，可能成为页面文件、休眠文件或内存转储文件（可关闭之）导致泄露到系统宗卷，也可能被提取内存镜像（在数字取证中已有应用）甚至在关机一段时间内遭到冷启动攻击。在RAM中加密主密钥和缓存密码有助于缓解此问题，也可以设置注销、锁定或睡眠时清除缓存的密钥，并在即将遭遇威胁时，即使来不及关机，仅仅合上笔记本电脑的盖子、按下台式计算机的电源按钮或通过键盘快捷键锁定，VeraCrypt将主动擦除之（不过RAM中打开的文件仍不安全）。
   通常来说，在即将遭遇威胁时关机对于加密设备是有利的，以便销毁RAM或安全模块中可能缓存的密钥，而一般人遭遇冷启动攻击是小概率事件。如有安全模块，请确认它是可信任的，对特定攻击者来说找不到泄露密钥的后门。例如，计算机上的TPM可能由特定国资企业生产，请思考是否信任之。

@wumingshi ffmpeg会把前缀为'-'的自动识别成命令行选项，解决方法是直接调用ffmpeg内部的接口，码力强的话就直接调用C接口，如果手生的话可以看看别人封装过的python接口之类的（当然，不用ffmpeg也是一个选项）

至于 GUI 程序…… C# 和 WPF？或者 Qt？（感觉学习成本都挺高的%t%……）原生平台的 GUI 编程不太懂

@wumingshi 这个ffmpeg命令行有输出吧，如果ffmpeg有自动修复的话读ffmpeg警告应该大致能猜到修复了什么，但是源视频具体哪里有问题可能需要用二进制编辑器或者自己手写一个软件工具去分析源视频的问题

搜到一个比较全的链接，无名氏君可以试试
关于win10专业版关机自动重启问题

(1) 电脑系统设置不正确；
Windows操作系统默认，当系统出现错误时会自动重新启动电脑。如果关机过程中系统出现错误，电脑就会重新启动。
解决方法：关闭Windows操作系统默认的系统失败 - 自动重新启动功能 ，可以解决电脑关机后自动重启的故障。
(2) 电脑上插入了USB设备或光驱中插入了光盘；
在电脑的操作过程中，向电脑插入了U盘或向光驱中插入了光盘，而关机时忘记把这些设备取出，也可能导致关机后电脑又重新启动。
(3) 可能由系统的电源计划对系统的影响而造成电脑关机后又自动重启

感觉多半就是系统故障或者Windows 更新的问题，这种情况就算是程序员可能也只会告诉你重装系统

@wumingshi 搜搜“Windows 快速启动”试试，并没有自动重启这个选项

这个描述听上去像“快速启动”，试试关掉这个？但是印象里快速启动耗电量不高……

手动捞贴8888