# 換了 IP、開了 VPN，為什麼還是被找到？從一個駭客落網的案子說起

> 開了 VPN、換了 IP，是不是就匿名了？一個即使全程掛 VPN 仍被查出身分的駭客案件，暴露了一個常被忽略的盲點：VPN 保護的是你的「連線」，不是「你這台裝置」。這篇說明高風險工作者該懂的裝置層追蹤，以及你現在就能做的保護方式。

*高風險族群 · 更新於 2026.07.08 · 約 10 分鐘閱讀*

---

![judges gavel and open book on table](https://ethome.cc/wp-content/uploads/2026/07/ozs0tpf8qt0-edited.jpg)

開了 [VPN](https://ethome.cc/glossary/vpn%ef%bc%88%e8%99%9b%e6%93%ac%e7%a7%81%e4%ba%ba%e7%b6%b2%e8%b7%af%ef%bc%89/)、換了 IP，是不是就匿名了？最近一個駭客落網的案子給了很現實的答案：即使全程掛著 VPN、頻繁換 IP，這名嫌疑人最後還是被對應到本人。關鍵不在他做錯了什麼「操作」，而在他誤會了 VPN 到底能保護什麼。這篇寫給需要對抗針對性追蹤的人——記者、倡議與社會運動工作者、以及任何身分安全攸關人身的讀者。

### 本文重點

- VPN 換掉的是你的 IP，不是「你這台裝置」的身分。

- Windows 有一組跟微軟帳號綁定的裝置識別碼（GDID），[系統更新](https://ethome.cc/glossary/%e7%b3%bb%e7%b5%b1%e6%9b%b4%e6%96%b0%ef%bc%8f%e4%bf%ae%e8%a3%9c/)不會變、重灌才換新。

- 追蹤者真正串起來的，是「同一台裝置在不同 IP、不同時間出現」的模式。

- 你能做的分三層：減少遙測 → 切開身分 → 必要時換裝置或系統。

- 沒有一鍵解法，但「就算只做一件事，也有幫助」。

## 一個真實的案子：全程 VPN，還是被對應到本人

![](https://ethome.cc/wp-content/uploads/2026/07/image-2-edited.png)

2026 年 7 月，美國解封了一份[刑事訴狀](https://gnoseris.blogspot.com/2026/07/the-prosecution-of-peter-stokes-case.html)。檢方指控一名 19 歲、化名「Bouquet」的嫌疑人，涉入知名網路犯罪組織 Scattered Spider 對一家高級珠寶零售商的攻擊。案子本身是典型的[社交工程](https://ethome.cc/glossary/%e7%a4%be%e4%ba%a4%e5%b7%a5%e7%a8%8b/)：攻擊者打電話冒充員工騙過該公司的 IT 服務台、重設多重驗證，接著在對方伺服器上架設隧道工具維持存取，最終外洩大量內部資料並索討 800 萬美元贖金。

真正值得高風險工作者注意的，**是這名嫌疑人「怎麼被查出來的」**。根據訴狀，他是透過 VPN 去申請那個隧道服務（ngrok）的帳號，所以帳號建立時記錄到的是一個 VPN 的 IP，照理說看不出是誰。但微軟的紀錄顯示：就在帳號建立的同一時間點，同一組「裝置識別碼」造訪了該服務的註冊頁。VPN 藏住了 IP，卻沒藏住這台電腦本身。

**兩個名詞先講清楚。**ngrok 是正當的開發者工具，用來把跑在自己電腦上、藏在防火牆後面的服務開一條通道公開到網路上；它被濫用，不是[惡意程式](https://ethome.cc/glossary/%e6%83%a1%e6%84%8f%e7%a8%8b%e5%bc%8f/)。GDID（Global Device ID，[全域裝置識別碼](https://ethome.cc/glossary/gdid/)）則是微軟給一台 Windows 安裝的裝置編號，下一段會細說。

有了這條線索，接下來就是滾雪球：檢方拿這組識別碼去比對微軟的歷史紀錄，找出它在不同時間出現過的 IP，再把這些 IP 跟嫌疑人本人的社群與蘋果帳號在同一城市、同一時段的登入疊在一起——地點涵蓋愛沙尼亞塔林、紐約、泰國，還有國務院的出入境紀錄佐證。掛 VPN 的攻擊帳號，就這樣被接回到一個活生生的人。（本案報導見 [The Hacker News](https://thehackernews.com/2026/07/court-filing-reveals-windows-device-id.html) 與 [iTnews](https://www.itnews.com.au/news/microsoft-device-telemetry-key-to-unmasking-alleged-scattered-spider-hacker-627148)。）

**先講清楚我們****「不」是要說****的： **訴狀裡除了 IP，還出現了嫌疑人造訪過的完整網址。但微軟究竟透過哪個管道拿到這種「瀏覽層級」的紀錄，目前沒有定論，連技術社群都在互相追問。可能的來源包括內建的網址信譽檢查（[SmartScreen](https://learn.microsoft.com/en-us/windows/security/operating-system-security/virus-and-threat-protection/microsoft-defender-smartscreen/)）或診斷遙測，但在這個案子裡是靠哪一個，並無證據。所以**請不要把這件事理解成「微軟看得見你所有瀏覽紀錄」**——本文只確定**「裝置識別碼能跨 IP 把活動串起來」**這件事。

重點從來不是這名駭客，而是這套「串接邏輯」對任何人都適用：只要有一個不會隨 IP 改變的裝置身分，換再多 IP，都可能被接回同一台裝置、進而接回同一個人。

## 匿名其實有兩層：網路層 vs 端點層

![blue UTP cord](https://ethome.cc/wp-content/uploads/2026/07/40xgdxbfyxm-edited.jpg)

把「匿名」拆成兩層，很多困惑就解開了。VPN 和 Tor 處理的是**網路層**——也就是「你的連線從哪個 IP 出去、對外看起來來自哪裡」。這一層它們確實有效。但你的裝置還有一個**端點層**的身分：作業系統、帳號、以及像 GDID 這樣的裝置識別碼。這一層，VPN 完全管不到。

網路層與端點層匿名對比
VPN 或 Tor 能換掉對外 IP，保護網路層；但裝置層的 GDID 或裝置指紋不會變，VPN 遮不住端點層的身分。

網路層
連線來源（IP）

VPN／Tor 換掉對外 IP

VPN 有效

端點層
裝置身分

GDID／裝置指紋不會變

VPN 無效

VPN 保護連線來源，卻遮不住裝置層的身分。

一個生活化的比喻：VPN 像幫車子換車牌，路上的攝影機拍到的是新號碼；但車子的引擎號碼沒變。如果有人能讀到引擎號碼，換再多車牌都會被認出是同一台車。**GDID 就是那個引擎號碼。**

所以這是一個**威脅模型**的問題，不是「有沒有開 VPN」的問題。你要問的是：想找你的人有沒有能力拿到端點層的線索？如果有，光靠 VPN 並不夠。

## 那組「拔不掉的編號」到底是什麼

用白話說：GDID 是微軟的伺服器在你的 Windows 向微軟帳號註冊時，「發」給這台裝置的一組編號，然後存在你自己的電腦裡。它有兩個關鍵特性：系統更新不會改變它，但重灌 Windows 會換一組新的。**它本來是為了「跨裝置接續」這類便利功能而存在**（例如手機與電腦互通的剪貼簿、「在另一台裝置上繼續」），能被拿來追蹤，是這套設計的副作用。

### 要避開的迷思

- **它不是硬體序號算出來的。**如果是從主機板或硬碟序號推導，重灌應該算回同一組；但事實是重灌會換新，反證了「硬體指紋」的說法。

- **它不是社群上流傳的 128 位元。**[逆向分析](https://github.com/SmtimesIWndr/gdid-reversal)顯示它其實是一組 64 位元的帳號裝置編號。

- **「改用本機帳號」不保證完全避免。**這是最常被給的建議，但原研究者後來自己更正：就算沒登入微軟帳號，系統仍可能走一條匿名路徑產生識別碼。改用本機帳號有幫助，但不是免死金牌。

想更深入了解這組識別碼怎麼產生、透過哪些服務回報，可參考資安字典的〈[裝置識別碼（GDID）](/glossary/gdid/)〉與〈[端點匿名 vs 網路匿名](#)〉詞條。這裡你只需要記住一句話：**它不是可以「一鍵關掉」的東西，而是作業系統身分架構的一部分；我們能做的是層層減少曝險，而不是讓它徹底消失。**

## 你今天可以做的保護方式

![a computer keyboard with a padlock on top of it](https://ethome.cc/wp-content/uploads/2026/07/2t4l02zyj-k-edited.jpg)

下面按「投入成本」由低到高排列。你不需要一次做完——先做第一層，就已經比昨天更安全。每一步都標了它「擋得掉什麼、擋不掉什麼」，這樣你不會對某個動作抱有錯誤期待。

- **低成本：關掉最會說話的那幾項。**關閉「活動歷程記錄」，把「診斷資料」調到最低，減少使用 Edge，日常改用本機帳號而非微軟帳號登入。
*擋得掉：*大幅減少送回微軟的活動與瀏覽相關訊號，也就縮小了可被串接的資料面。*擋不掉：*不會刪除 GDID 本身。

- **中等：停用連線裝置平台（CDP）。**停用 CDPSvc 與 CDPUserSvc 這兩個服務，切斷裝置圖譜的同步與上傳。
*擋得掉：*減少裝置身分被持續同步到雲端。*代價：*會失去手機與電腦互通、雲端剪貼簿、「在另一台裝置上繼續」等便利功能——這是取捨，不是免費。

- **高需求：把「高風險身分」和「日常身分」分開。**如果你的處境是針對性的，最有效的不是「把 Windows 弄乾淨」，而是**區隔化**：讓敏感工作跑在與日常帳號、日常裝置完全分開的環境。真正需要匿名時，考慮使用專為此設計、開機即用完即走的系統（例如 Tails）。
*擋得掉：*就算某一台裝置的身分被串起來，也接不到你的其他身分。*要注意：*這需要習慣的改變，效果來自「不共用」，而不是某個神奇設定。

## 可以幫忙的工具

手動逐項調整很累，有些工具能把散落各處的隱私設定集中起來。以下優先列出開源、或廣獲信任的選項：

- **[privacy.sexy](https://privacy.sexy/)**（開源）：跨 Windows／macOS，最大的優點是它會**產生你可以自己檢視的腳本**——你能先看清楚它到底改了什麼再套用，透明度最高。

- **[O&O ShutUp10++](https://www.oo-software.com/en/shutup10)**（免費、可攜、非開源）：把上百個隱私設定收進單一介面，逐項有說明、預設不會自動亂改，適合想一項一項看懂再關的人。套用前記得先建立系統還原點。

- **[WindowsSpyBlocker](https://github.com/crazy-max/WindowsSpyBlocker)**（開源）：走防火牆規則的路線，屬於進階選項。

**對工具要有正確的期待。**這些工具能減少遙測的「量與面」，但**不能刪掉 GDID、也不能讓你隱形**。對抗針對性追蹤時，它們是「縱深防禦」的一環，不是匿名方案。如果你的安全真的攸關人身，別把降低遙測誤當成匿名——真正的匿名要靠上一節的「區隔化」與專用環境。另外提醒，任何會改動系統設定的工具，套用前都先建立還原點。

## 自我檢查清單

- 我清楚自己的威脅模型嗎——誰可能想找我、對方的能力有多強？

- 我的「高風險工作」和「日常帳號」，有沒有共用同一台裝置、同一個微軟帳號？

- 我是不是把「開了 VPN」直接當成「我匿名了」？

- 當我真的需要匿名時，手邊有沒有一個乾淨、與日常分開的系統或裝置可用？

## 最後

匿名不是一個開關，而是一組習慣與取捨；能不能保護你，取決於你在防的是誰。VPN 是好工具，但它保護的是連線，不是你這台裝置——把這兩層分清楚，你就不會在最需要的時候，被一個以為早就處理好的盲點絆倒。

溺死的，有時候反而是會游泳的，否則就是不小心掉下去的。

## 參考來源

本文案件事實以美國聯邦刑事訴狀為主要依據，技術細節輔以下列報導與研究交叉查證。

- 美國訴 Peter Stokes [刑事訴狀](https://gnoseris.blogspot.com/2026/07/the-prosecution-of-peter-stokes-case.html)（United States v. Peter Stokes，伊利諾州北區聯邦地方法院）。

- The Hacker News，關於本案訴狀與 Windows 裝置識別碼的報導：[連結](https://thehackernews.com/2026/07/court-filing-reveals-windows-device-id.html)

- iTnews，微軟裝置遙測協助辨識嫌疑人之報導：[連結](https://www.itnews.com.au/news/microsoft-device-telemetry-key-to-unmasking-alleged-scattered-spider-hacker-627148)

- Cybernews，Windows 遙測與 GDID 相關報導：[連結](https://cybernews.com/security/windows-telemetry-gdid-helps-arrest-hacker/)

- Tom’s Hardware，GDID 與案件背景報導：[連結](https://www.tomshardware.com/software/windows-11-identifier-used-to-track-scattered-spider-perp-after-microsoft-shared-info-with-fbi-19-year-old-us-estonian-hacker-arrested-over-alleged-ties-to-infamous-extortion-group)

- GDID 逆向工程分析（SmtimesIWndr/gdid-reversal），每項主張皆標註信心等級，本文技術描述與破除迷思的主要依據：[連結](https://github.com/SmtimesIWndr/gdid-reversal)

- 微軟 Azure Monitor 文件，UCDOStatus 資料表中的 GlobalDeviceId 欄位定義：[Microsoft Learn](https://learn.microsoft.com/)

- 微軟 Defender SmartScreen 說明（關於網址信譽檢查會將造訪網址送回微軟，為文中「完整 URL 來源」推測之一）：[Microsoft Learn](https://learn.microsoft.com/en-us/windows/security/operating-system-security/virus-and-threat-protection/microsoft-defender-smartscreen/)

**文中提到的工具（官方頁）：**[privacy.sexy](https://privacy.sexy/)、[O&O ShutUp10++](https://www.oo-software.com/en/shutup10)、[WindowsSpyBlocker](https://github.com/crazy-max/WindowsSpyBlocker)。非業配，本站與上述工具無利益關係。

---

來源：[換了 IP、開了 VPN，為什麼還是被找到？從一個駭客落網的案子說起](https://ethome.cc/vpn-hides-ip-not-your-device/)
ethome.cc — 生活化的資安科普
