很多朋友为了工作或学习需要,会在网上下载或使用各种 VPN 客户端或者网络地址(尤其是“机场”提供的定制版软件)。但下载完或使用后心里总犯嘀咕:这东西安全吗?会不会有病毒?为什么连上了查 IP 还是显示我的真实地址?

今天这篇教程就带你从头到尾给 VPN 做个“体检”,并解决最常见的 Shadowrocket(小火箭)“假泄露”问题。

第一阶段:安装前的“防雷”检查

如果你下载的是 .exe.apk 安装包,千万别急着点运行。我们可以利用全球杀毒引擎库来把关。

1. 使用 VirusTotal 扫描

访问 VirusTotal,上传你的安装包。它会调用卡巴斯基、微软、赛门铁克等全球 70 多个主流杀毒引擎进行扫描。

2. 如何看懂扫描结果?

  • 全绿(0 报毒): 放心安装。

  • 一片红(10+ 报毒): 立刻删除! 里面很可能有木马或挖矿程序。

  • 极少数报毒(1-2 个,例如 DeepInstinct): 大概率是误报。

    • 案例分析: 很多 VPN 客户端因为涉及到修改系统网络设置,或者采用了加壳技术防破解,容易被一些基于“AI 预测”的小众杀毒引擎(如 DeepInstinct)判定为恶意软件。只要主流大厂(Microsoft, Avast, McAfee 等)没报毒,通常是可以信任的。

第二阶段:安装后的“隐私测试”

软件没毒不代表它能保护隐私。有些劣质 VPN 连上后,虽然能打开国外网站,但其实你的真实 IP 和 DNS 请求依然在“裸奔”。

三步检测法

连接 VPN 后,依次访问以下网站进行测试:

  1. 查 IP 地址: 访问 ipip.netwhatismyip.com。显示的必须是代理服务器的 IP(如美国、香港),不能是你所在的城市。

  2. 查 DNS 泄露: 访问 dnsleaktest.com。点击测试,结果中不能出现“中国电信/联通/移动”字样。

  3. 查 WebRTC 泄露: 访问 browserleaks.com/webrtc。查看 Public IP 一栏,如果显示了你的本地真实 IP,说明这层防护失效了。

第三阶段:为什么 WebRTC 正常,查 IP 却显示“真实地址”?(Shadowrocket 篇)

这是很多 iOS 用户最头疼的问题:

“我明明连上了 Shadowrocket,DNS 和 WebRTC 检测都是国外的,为什么去 whatismyip.com 一查,还是显示我家里/公司的真实 IP?”

原因揭秘

这不是 VPN 坏了,而是 Shadowrocket 太“智能”了。 小火箭默认使用的是 “配置 (Config)” 模式。在这种模式下,它会根据内置的规则列表判断:

  • 访问 Google -> 走代理。

  • 访问 百度 -> 直连(不走代理)。

而像 whatismyip.com 这类查 IP 的网站,有时会被规则误判为“普通网站”或者是规则库没更新,导致小火箭让你直连访问了它。既然是直连,对方当然能看到你的真实 IP。

终极解决办法:修改“全局路由”

很多人找不到设置的地方,注意:它不在“设置”里,而在“首页”!

操作步骤:

  1. 打开 Shadowrocket,点击底部最左边的 “首页” (Home) 图标。

  2. 在顶部的开关下方,找到 “全局路由” (Global Routing) 选项(通常位于节点列表的正上方)。

  3. 点击它,将模式从 “配置 (Config)” 改为 “代理 (Proxy)”

效果: 改为“代理”模式后,手机上的所有流量都会被强制通过 VPN 发送。此时你再去刷新查 IP 的网页,绝对会变成 VPN 的 IP。

⚠️ 重要提示

测试完毕或办完正事后,建议把全局路由改回 “配置” 模式。否则你访问国内 APP(微信、抖音、淘宝)也会绕地球一圈,导致网速变慢、耗电增加且浪费流量。

总结

  1. 文件安全: 用 VirusTotal 扫描,只要不是主流引擎集体报毒,个别 AI 引擎的报毒通常可以忽略。

  2. 隐私安全: 关注 DNS 和 WebRTC 是否泄露比单纯看 IP 更重要。

  3. 使用技巧: 遇到“假泄露”,去 Shadowrocket 首页把“全局路由”改成“代理”即可秒解。

希望这篇指南能帮大家更安全、更明白地使用网络工具!