Skip to content

附录B 推荐工具清单

本附录导读:面对第 3 章列出的五类威胁主体,工具是把"威胁建模"落到实处的最后一公里。本附录只收录在境内合法合规、定位为防御的工具——密码管理器、双因素认证、隐私浏览器、广告追踪拦截、权限审计、备份与加密等。所有工具按 🟢基础 / 🟡进阶 / 🔴深度 三级标注(口径见第 3 章),并标注对应正文章节,方便你按需取用。


使用说明

  1. 先打基础再进阶:🟢 级未完成前,不要急着上 🔴 级工具。第 3 章已说明,跳级是本末倒置。
  2. 工具是手段,不是目的:任何工具都不能替代良好的使用习惯。再强的密码管理器,主密码泄露也会全军覆没。
  3. 开源优先:本附录优先推荐开源或免费工具,因其代码可审计、供应链更透明。商业工具如列入,会在"开源/免费"列标注。
  4. 平台标注约定:Win=Windows;mac=macOS;iOS=苹果移动端(含 iPadOS);And=Android;Lin=Linux;跨=跨平台。
  5. 注意点列只记录该工具的关键取舍或坑点,不面面俱到,实际使用请结合官方文档。

一、密码与认证

对应正文:第 4 章 手机号与账号第 5 章 密码与双因素认证

🟢 基础(大众必读)

名称用途平台开源/免费注意点
系统自带钥匙串存密码、自动填充、生成强密码iOS/mac(iCloud 钥匙串);And(Google 密码管理);Win(Microsoft 账户)免费设备锁屏务必设强;跨生态同步受限
浏览器内置密码管理日常网站密码存储与填充Chrome/Edge/Firefox/Safari免费浏览器登录态本身需要强账户密码+锁屏保护
Microsoft Authenticator / Google AuthenticatorTOTP 双因素验证码生成iOS/And免费换手机务必先在旧机解除绑定,否则会被锁出
国家反诈中心 App诈骗来电/短信预警、可疑链接检测iOS/And免费需开启来电识别与短信检测权限方有效

🟡 进阶(实操配置)

名称用途平台开源/免费注意点
Bitwarden全功能云同步密码管理器开源,免费版足够个人使用主密码是唯一钥匙,务必长且唯一,并设紧急联系人
1Password商业密码管理器,家庭共享完善商业付费"旅行模式"可在过境时临时清空本地敏感数据
Aegis AuthenticatorAnd 上的开源 2FA,支持加密备份And开源免费备份导出后务必离线保存,避免单点丢失
ente Auth / Tofu跨平台加密 2FA / iOS 开源 2FA跨/iOS开源免费ente Auth 支持端到端加密同步

🔴 深度(原理与对抗)

名称用途平台开源/免费注意点
KeePassXC完全离线的本地密码库Win/mac/Lin开源免费需自行解决多设备同步(建议自托管云盘+加密卷)
YubiKey / FIDO2 安全密钥硬件双因素,抗钓鱼跨(USB-C/A/NFC)商业付费至少配两把,一把备用;部分国内服务不支持,使用前确认
Passkey(通行密钥)基于公钥密码的无密码登录主流平台均支持免费私钥不出设备,抗钓鱼能力强;务必确认设备间同步与找回路径
Vaultwarden自托管 Bitwarden 兼容服务端跨(需自备服务器)开源免费需自行维护安全更新;适合有运维能力的读者

📌 关于 Passkey:通行密钥是 FIDO 联盟与 W3C 推动的开放标准,苹果、谷歌、微软与主流国内厂商均在接入。它用设备本地私钥替代密码,本质是更安全的认证,而非任何网络规避手段。


二、浏览器与追踪防护

对应正文:第 7 章 App 与 SDK第 9 章 社交媒体与内容平台

🟢 基础(大众必读)

名称用途平台开源/免费注意点
Firefox(Mozilla 官方版)开源浏览器,隐私设置可调开源免费跨设备同步需注册 Mozilla 国际账户;与本地化版本账户体系不同,待复核
Brave内置广告与追踪拦截的浏览器开源免费自带的加密货币功能可在设置中关闭
SafariiOS/mac 内置浏览器,智能防追踪(ITP)iOS/mac免费ITP 默认阻断已知跨站追踪器,无需额外配置
uBlock Origin轻量广告与追踪拦截扩展Firefox/Chrome/Edge开源免费仅从浏览器官方扩展商店安装,警惕同名仿冒

🟡 进阶(实操配置)

名称用途平台开源/免费注意点
Privacy BadgerEFF 出品,自动学习追踪器并拦截跨(浏览器扩展)开源免费与 uBlock Origin 互补,可并用
Firefox Multi-Account Containers把不同网站隔离进独立"容器"Firefox开源免费适合把工作/私人/小号 cookie 分开,互不串扰
DuckDuckGo Privacy Essentials强制 HTTPS、阻断追踪跨(扩展/浏览器)开源免费搜索引擎本身不记录查询 IP
浏览器隐私设置自查关闭第三方 cookie、关闭跨站追踪、定期清 cookie所有浏览器免费Chrome/Edge/Safari/Firefox 均有"隐私"或"安全"设置入口

🔴 深度(原理与对抗)

名称用途平台开源/免费注意点
arkenfox user.jsFirefox 高强度隐私配置预设Firefox开源免费会牺牲部分网站便利性,需自行维护白名单
LibreWolfFirefox 的隐私强化分支Win/mac/Lin开源免费默认关闭遥测、加强指纹防护;可能与部分国内站点兼容性较差
浏览器指纹防护(原理)理解 canvas/WebGL/字体指纹机制所有浏览器见第 9 章;本附录不列入专门的指纹伪装工具,因其与"伪装身份"边界敏感

📌 扩展安装纪律:所有扩展只从浏览器官方商店安装,绝不从第三方下载;扩展权限最小化,定期清理不用的扩展——恶意扩展是窃取浏览器数据的常见渠道。


三、手机权限与 App 审计

对应正文:第 6 章 手机系统与权限第 7 章 App 与 SDK

🟢 基础(大众必读)

名称用途平台开源/免费注意点
iOS"隐私与安全性"设置查看/回收 App 权限、查看 App 活动记录iOS/iPadOS免费"App 隐私报告"可看到各 App 用了哪些权限、连了哪些域名
Android 权限管理 + 隐私仪表板权限授予总览、最近访问记录And(系统内置)免费各厂商 UI 略有差异,入口名称常为"权限与隐私"
微信"个人信息与权限"查看/关闭微信个性化广告、清除画像iOS/And免费关闭后广告仍会展示,只是不基于个性化画像
应用商店隐私标签安装前查看 App 收集哪些信息iOS App Store / And 商店免费标签由开发者自报,仅作参考,不能完全替代审计

🟡 进阶(实操配置)

名称用途平台开源/免费注意点
AppOps(Android)细粒度权限控制(如"模糊定位""空权限")And开源免费(部分厂商内置)需通过 adb 或 Shizuku 授权,门槛略高
Shizuku让 App 以系统级权限运行,无需 rootAnd开源免费配合 AppOps、Island 等使用;每次重启需重新激活
Island / Shelter工作 profile 隔离,把不信任的 App 关进"孤岛"And开源免费适合把电商/资讯类 App 放进隔离区,避免读取主通讯录
adb(android debug bridge)卸载/禁用预装 App、批量审计And(需电脑配合)开源免费误删系统组件可能变砖,操作前备份数据

🔴 深度(原理与对抗)

名称用途平台开源/免费注意点
网络抓包(PCAPdroid / mitmproxy / Charles)查看 App 联网行为,审计是否偷传数据开源/部分免费仅审计自有设备,不得用于他人设备
App 静态分析(jadx / Apktool)反编译查看 App 申请的权限与 SDK 清单跨(电脑端)开源免费仅用于学习与研究自有安装包
Exodus Privacy在线扫描 App 含有哪些追踪 SDKWeb开源免费主要覆盖国际 SDK,国内 SDK 覆盖有限
NetGuard 等本地防火墙按 App 拦截联网,看谁在后台偷连And开源免费(基础功能)部分基于本地 VPN 通道实现,属本地防火墙,详见第 11 章

四、网络与路由

对应正文:第 11 章 网络访问控制机制。本节严格遵守只列防御工具的口径,不含任何网络访问、匿名化、规避、代理类工具。

🟢 基础(大众必读)

名称用途平台/范围开源/免费注意点
路由器管理面口令修改替换默认 admin/admin所有家用路由器免费同时改掉默认 Wi-Fi 名称与密码,关闭 WPS
路由器固件及时升级修补已知漏洞所有路由器免费开启自动升级;型号太老不再获得补丁的建议更换
公共 WiFi"三不"原则不网银、不转账、不输密码所有设备免费警惕同名假热点,敏感操作优先使用蜂窝网络
关闭路由器远程管理 / UPnP减少外网暴露面路由器免费UPnP 便利性与风险并存,家庭环境建议关闭

🟡 进阶(实操配置)

名称用途平台/范围开源/免费注意点
加密 DNS(DoH/DoT)防止 DNS 查询被本地中间人窥探/篡改iOS/And/mac/Win/路由器免费可选阿里公共 DNS、DNSPod 等合规 DoH 服务;配置方法见各服务官方文档
AdGuard Home(本地部署)在自家网络上做 DNS 级广告/恶意域名拦截路由器/树莓派/NAS开源免费部署在家庭网关之后,所有连该 WiFi 的设备生效
访客网络/IoT 分段把访客与智能家居设备隔离到独立子网主流路由器免费智能家居设备单独一段,不与手机/电脑同段

🔴 深度(原理与对抗)

名称用途平台/范围开源/免费注意点
DNS 协议对比(DoH / DoT / DoQ)理解不同加密 DNS 的传输层差异理论见第 11 章机制讲解
自建本地 DNS 缓存(dnsmasq / CoreDNS)加速解析+本地过滤Lin/路由器开源免费需一定运维能力
家庭网关流量可视化(ntopng 等)了解哪些设备在和哪些域名通信路由器/NAS开源/部分付费仅审计自家网络,用于发现异常外联

⚠️ 再次声明:本节不收录任何用于改变网络路由、绕过访问控制或匿名化的工具。相关机制与个人法定权利的讨论见第 11 章,本附录只负责防御侧。


五、数据备份与泄露自查

对应正文:第 14 章 云与存储第 15 章 诈骗与社会工程第 18 章 应急响应第 16 章 法律武器与维权

🟢 基础(大众必读)

名称用途平台/范围开源/免费注意点
手机本地备份到电脑定期把照片/通讯录/重要资料备份到 PCiOS(mac)/And(Win/mac)免费iOS 用 Finder/iTunes 整机加密备份;And 用厂商工具或文件复制
各大账号"导出我的数据"行使复制权,下载平台持有你的数据各平台(微信/支付宝/淘宝/京东等)免费这是第 1 章八项权利中"复制权"的落地,操作见附录 A
国家反诈中心 App 风险自查检测本机是否装有可能涉诈 AppiOS/And免费定期运行一次,尤其给家中老人开启
微信/支付宝账号安全中心查看登录设备、修改密码、紧急冻结iOS/And免费发现陌生设备登录立即下线

🟡 进阶(实操配置)

名称用途平台/范围开源/免费注意点
Have I Been Pwned查询邮箱/手机号是否出现在已知泄露库Web免费国际服务,主要覆盖英文互联网泄露库
各平台官方"账号信息查询"国内大厂提供的"看平台记录了我什么"入口Web/App免费见附录 A 速查表
Cryptomator为云盘文件做端到端加密后再上传开源免费(移动端部分功能付费)把敏感资料放进加密保险库再同步,云服务商看不到明文
Duplicati增量加密备份到本地/云Win/mac/Lin开源免费支持多种后端,需自行配置计划任务

🔴 深度(原理与对抗)

名称用途平台/范围开源/免费注意点
3-2-1 备份原则3 份副本、2 种介质、1 份异地方法论见第 14 章;异地不等于云,亲友家也行
Restic / BorgBackup增量去重加密备份(命令行)开源免费适合有 NAS 或服务器的读者
RAID / ZFS存储冗余,防单盘故障NAS/服务器软 RAID 免费RAID 不是备份,防硬件故障不防误删与勒索
三层组合方案密码(KeePassXC)+ 文件(Cryptomator)+ 异地云备份全部开源免费完整方案见第 14 章

六、文件加密与安全删除

对应正文:第 10 章 电脑与操作系统第 12 章 物理与设备安全

🟢 基础(大众必读)

名称用途平台/范围开源/免费注意点
设备全盘加密手机/电脑默认开启磁盘加密iOS/mac(FileVault)/Win(BitLocker)/And(默认)免费iOS/And 自 2015 年代起默认开启;务必设置强锁屏密码,它是解密钥匙
备忘录/笔记加密给敏感笔记单独加锁iOS/And/系统备忘录免费密码遗失后通常无法找回,务必记牢或备份
压缩包加密(7-Zip)用 AES-256 加密打包文件再传输Win/mac/Lin开源免费密码长度 ≥ 12 位;勾选"加密文件名"防泄露元数据

🟡 进阶(实操配置)

名称用途平台/范围开源/免费注意点
VeraCrypt创建加密虚拟磁盘卷,可整盘加密Win/mac/Lin开源免费隐藏卷功能适合敏感数据;务必先看官方文档再上手
BitLocker To Go加密 U 盘/移动硬盘Win Pro 及以上Win 内置恢复密钥务必离线备份,遗失即数据不可恢复
文件粉碎(BleachBit / Eraser)多次覆写以删除 HDD 上的敏感文件Win/mac/Lin开源免费仅对机械硬盘可靠;SSD 因磨损均衡效果不保证,建议全盘加密替代

🔴 深度(原理与对抗)

名称用途平台/范围开源/免费注意点
LUKSLinux 全盘加密标准Lin开源免费与 BitLocker/FileVault 机制类似,密钥派生自用户口令
安全删除原理(Gutmann / 单遍覆写)理解为什么现代 SSD 上"安全删除"基本失效理论见第 12 章;结论:全盘加密 + 物理销毁是更可靠方案
冷启动攻击与内存密钥保护理解设备睡眠/丢失时密钥在内存中的风险理论见第 12 章;对策是设置短时间自动锁屏与"睡眠即锁"

通用使用原则

无论选哪类工具,以下四条原则贯穿全书:

  1. 最小授权:任何工具只授予它完成功能所需的最小权限,不用的扩展/App 立即卸载。
  2. 代码可审计优先:同等条件下,开源工具优于闭源;有活跃社区与定期更新的工具优于停滞项目。
  3. 不依赖单点:密码库、加密卷、备份各保留至少两份,一份离线/异地(见第 14 章 3-2-1 原则)。
  4. 工具会过期:每年至少一次回顾自己装了哪些工具,删除不再维护或不再需要的——僵尸工具本身是风险。

本章检查清单

  • [ ] 我已部署至少一个 🟢 级密码管理方案,并为主密码设了强且唯一的口令
  • [ ] 我已为核心账号(邮箱、支付、微信)开启 2FA
  • [ ] 我的浏览器已装至少一个广告/追踪拦截扩展,且来自官方商店
  • [ ] 我在过去 30 天内检查过一次手机 App 权限
  • [ ] 我的路由器已改默认密码、关闭了 WPS 与远程管理
  • [ ] 我有一份本地加密备份,且测试过能成功恢复
  • [ ] 我的核心设备已开启全盘加密与自动锁屏

延伸阅读与参考来源

  • 各工具的官方网站与官方文档(本附录未逐字列出链接,因链接易失效,请通过工具名自行检索)
  • 本书正文相关章节(见各表"对应章节"列)
  • 国家互联网信息办公室、公安部发布的个人信息保护、反诈骗相关规范性文件
  • FIDO Alliance / W3C 关于 Passkey 的开放标准文档

⚠️ 工具版本、功能与平台支持会随时间变化,本附录信息以 2026-07-14 为基准,如有重大变更请以官方文档为准。本书的推荐不构成对任何商业产品的背书。

⚠️ 免责声明:本书仅作防御科普,不构成法律建议;部分工具在特定场景下的使用需读者自行评估合规性与影响,涉及重要数据操作前建议咨询专业人士。


⬅ 上一章 附录A 平台隐私设置速查 | ➡ 下一章 附录C 法律条文速查

本书仅作防御科普,不构成法律建议。部分设置可能影响 App 正常功能,请自行评估。