<rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>新闻 - 分类 - Refrain69 的博客</title><link>https://blog.refrain69.com/categories/%E6%96%B0%E9%97%BB/</link><description>新闻 - 分类 - Refrain69 的博客</description><generator>Hugo -- gohugo.io</generator><language>zh-CN</language><managingEditor>contact@refrain69.com (Refrain69)</managingEditor><webMaster>contact@refrain69.com (Refrain69)</webMaster><copyright>This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.</copyright><lastBuildDate>Thu, 09 Jul 2026 19:00:00 +0800</lastBuildDate><atom:link href="https://blog.refrain69.com/categories/%E6%96%B0%E9%97%BB/" rel="self" type="application/rss+xml"/><item><title>Windows GDID 协助 FBI 抓获黑客</title><link>https://blog.refrain69.com/posts/windows-gdid/</link><pubDate>Thu, 09 Jul 2026 19:00:00 +0800</pubDate><author><name>Refrain69</name></author><guid>https://blog.refrain69.com/posts/windows-gdid/</guid><description><![CDATA[<div class="details admonition note open">
    <div class="details-summary admonition-title">
        <span class="icon"><svg class="icon"
    xmlns="http://www.w3.org/2000/svg" viewBox="0 0 512 512"><!-- Font Awesome Free 5.15.4 by @fontawesome - https://fontawesome.com License - https://fontawesome.com/license/free (Icons: CC BY 4.0, Fonts: SIL OFL 1.1, Code: MIT License) --><path d="M497.9 142.1l-46.1 46.1c-4.7 4.7-12.3 4.7-17 0l-111-111c-4.7-4.7-4.7-12.3 0-17l46.1-46.1c18.7-18.7 49.1-18.7 67.9 0l60.1 60.1c18.8 18.7 18.8 49.1 0 67.9zM284.2 99.8L21.6 362.4.4 483.9c-2.9 16.4 11.4 30.6 27.8 27.8l121.5-21.3 262.6-262.6c4.7-4.7 4.7-12.3 0-17l-111-111c-4.8-4.7-12.4-4.7-17.1 0zM124.1 339.9c-5.5-5.5-5.5-14.3 0-19.8l154-154c5.5-5.5 14.3-5.5 19.8 0s5.5 14.3 0 19.8l-154 154c-5.5 5.5-14.3 5.5-19.8 0zM88 424h48v36.3l-64.5 11.3-31.1-31.1L51.7 376H88v48z"/></svg></span>AI 辅助创作声明<span class="details-icon"><svg class="icon"
    xmlns="http://www.w3.org/2000/svg" viewBox="0 0 256 512"><!-- Font Awesome Free 5.15.4 by @fontawesome - https://fontawesome.com License - https://fontawesome.com/license/free (Icons: CC BY 4.0, Fonts: SIL OFL 1.1, Code: MIT License) --><path d="M224.3 273l-136 136c-9.4 9.4-24.6 9.4-33.9 0l-22.6-22.6c-9.4-9.4-9.4-24.6 0-33.9l96.4-96.4-96.4-96.4c-9.4-9.4-9.4-24.6 0-33.9L54.3 103c9.4-9.4 24.6-9.4 33.9 0l136 136c9.5 9.4 9.5 24.6.1 34z"/></svg></span>
    </div>
    <div class="details-content">
        <div class="admonition-content">本文由 AI 辅助创作，内容仅供参考，请读者自行核实其真实性和可靠性。</div></div></div>
<p>近日，美国司法部联合联邦调查局成功引渡并起诉了 19 岁的少年 Peter Stokes。据起诉书<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup>显示，微软的 <strong>Windows 全局设备标识符 (GDID, Global Device Identifier)</strong> 成为破案的关键，直接穿透了黑客用来隐匿行踪的 VPN，引发了网络安全界与公众对操作系统隐私追踪技术的广泛关注。</p>
<h2 id="案件背景" class="headerLink">
    <a href="#%e6%a1%88%e4%bb%b6%e8%83%8c%e6%99%af" class="header-mark"></a>1 案件背景</h2><p>根据法庭解密文件，拥有美国和爱沙尼亚双重国籍的 19 岁嫌疑人 Peter Stokes 是全球臭名昭著的网络犯罪团伙 Scattered Spider 的疑似核心成员。</p>
<ul>
<li>
<p><strong>作案过程</strong>：2025 年 5 月，Stokes 等人通过电话钓鱼手段，欺骗了一家美国跨国奢侈品珠宝商的 IT 帮助台，在数小时内成功获取了企业内部的高级管理员权限。</p>
</li>
<li>
<p><strong>勒索金额</strong>：黑客窃取数据后勒索高达 800 万美元的加密货币赎金。虽然该企业将黑客踢出网络且拒绝支付，但仍遭受了约 200 万美元的破坏损失。</p>
</li>
<li>
<p><strong>落网经过</strong>：2026 年 4 月，Stokes 在芬兰赫尔辛基准备登机飞往日本时被当地警方逮捕，随身携带两块 2TB 硬盘。他随后被引渡至美国，并于 2026 年 6 月底在芝加哥联邦法院首次出庭受审。</p>
</li>
</ul>
<h2 id="windows-gdid" class="headerLink">
    <a href="#windows-gdid" class="header-mark"></a>2 Windows GDID</h2><p>此次案件的最大焦点并非黑客的高超技术或者传奇经历，而是将其行踪彻底暴露的微软 Windows 遥测机制 —— <strong>GDID</strong>。</p>
<p>GDID (Global Device Identifier) 是微软为每一个 Windows 操作系统安装实例分配的唯一持久标识符。它主要作为 Windows 遥测子系统的一部分，用于跨微软服务识别特定设备。</p>
<p>与 IP 地址或浏览器的 Cookie 不同，GDID 深入操作系统底层。它不受任何 VPN、网络代理或常规系统更新的影响。除非用户对计算机进行彻底的格式化并重新全新安装 Windows 操作系统，否则该标识符将始终保持不变。</p>
<p>从本案披露的细节来看，微软的遥测系统不仅记录设备的硬件或健康状态，还会将特定的网络活动记录 (例如访问某些特定的 URL)、客户端 IP 地址与该设备的 GDID 进行深度绑定，并回传至微软服务器。</p>
<p>此次事件之前，GDID 的存在和功能一直未被广泛认知，公开的 MSDN 文档中也极少提及。</p>
<h2 id="gdid-协助-fbi-跨国破案" class="headerLink">
    <a href="#gdid-%e5%8d%8f%e5%8a%a9-fbi-%e8%b7%a8%e5%9b%bd%e7%a0%b4%e6%a1%88" class="header-mark"></a>3 GDID 协助 FBI 跨国破案</h2><p>在作案过程中，Stokes 全程使用了 VPN 来隐藏自己的真实 IP 地址，但他犯了一个致命的错误：使用了一台运行 Windows 系统的电脑。</p>
<p>FBI 追踪该黑客的逻辑链条如下：</p>
<ol>
<li>
<p><strong>锁定作案工具</strong>：调查人员发现黑客使用了一款名为 ngrok 的网络开发隧道工具来绕过被盗珠宝商的网络防御。</p>
</li>
<li>
<p><strong>调取微软数据</strong>：根据微软向 FBI 提供的遥测记录，2025 年 5 月 12 日，一个特定的 GDID (编号：g:6755467234350028) 访问了 ngrok 的注册页面。微软将该 GDID 与其背后的真实 IP 历史记录一并提交给了执法部门。</p>
</li>
<li>
<p><strong>交叉比对身份</strong>：获得该 GDID 绑定的脱敏 IP 历史记录后，FBI 将其与斯托克斯个人社交账号 (如 Snapchat、Apple、Facebook) 的登录 IP 进行了交叉比对。结果显示，该 GDID 对应的网络地址与斯托克斯在纽约、爱沙尼亚等地高级酒店发布 Snapchat 炫富动态的时间和地点高度吻合，从而构成了指控其本人的完美证据链。</p>
</li>
</ol>
<h2 id="隐私争议与深远影响" class="headerLink">
    <a href="#%e9%9a%90%e7%a7%81%e4%ba%89%e8%ae%ae%e4%b8%8e%e6%b7%b1%e8%bf%9c%e5%bd%b1%e5%93%8d" class="header-mark"></a>4 隐私争议与深远影响</h2><p>尽管 GDID 在本案中发挥了惩治网络犯罪的积极作用，但也引发了隐私倡导者和大量 Windows 用户的强烈担忧。</p>
<p>案件清晰地表明，如果操作系统本身在底层收集遥测数据，用户在应用层使用任何 VPN 或网络隐私保护工具都将失去匿名意义。</p>
<p>多位安全研究人员指出，微软此前并未在公众视野中明确说明 GDID 数据的收集范围与触发条件，也没有提供直观的 Opt-out 机制。微软在何种标准下会将这些底层数据共享给执法机构进行数据关联，目前依然缺乏足够的透明度报告。</p>
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p><a href="https://www.justice.gov/usao-ndil/media/1450651" target="_blank" rel="noopener noreferrer">https://www.justice.gov/usao-ndil/media/1450651</a>&#160;<a href="#fnref:1" class="footnote-backref" role="doc-backlink">&#x21a9;&#xfe0e;</a></p>
</li>
</ol>
</div>
]]></description></item></channel></rss>