什么是 GDID,这个帮助 FBI 抓到黑客的 Windows 设备指纹 一名 19 岁男子在 2026 年 4 月穿过赫尔辛基机场,随身带着两块 2TB 硬盘和一张飞往日本的机票。他没能登上那班飞机。芬兰警方根据国际刑警组织红色通缉令拦下了他,到 7 月,美国检方已公开一份联邦诉状,将他指认为 Peter Stokes,称其是 Scattered Spider 黑客组织成员之一,因涉嫌参与 2025 年 5 月对一家美国奢侈珠宝零售商的入侵而被通缉,该事件最终导致一笔 800 万美元的赎金要求。
不,我们并没有突然变成犯罪报道媒体,但正是微软为 FBI 提供了一种方式,让他们能跨越 VPN、代理服务器和三个国家追踪 Stokes 的 Windows 电脑。这一工具叫做全局设备标识符,或 GDID。除了少数企业文档页面外,在此案公开之前,大多数 Windows 用户从未听过这个术语。
我们查阅了完整的 39 页诉状,将其与独立逆向分析得出的 Windows 生成和传输该标识符的方式进行交叉核对,并在消息发布后核实了相关技术说法。以下是你需要了解的关于 GDID 的一切、它如何抓到 Stokes,以及如果你是 16 亿 Windows PC 用户之一,这意味着什么。

诉状引用了一名微软代表对 GDID 的描述:“一种持久的、设备级标识符,旨在唯一识别某台设备上的 Windows 操作系统安装,无论是物理设备(例如手机或笔记本电脑)还是虚拟机,并可在某些微软服务和场景中使用”
全球设备 ID(GDID)是一种永久、唯一的数字指纹,微软会在你安装 Windows 或登录微软账户时自动分配给你的电脑。
微软用它来管理软件许可和 Windows Store 应用,但因为它会把这台电脑上的所有在线活动关联到同一个身份上,执法部门可以用它跨越互联网追踪设备的真实所有者
它会在 Windows 更新后继续存在。它不会在全新重装后保留,而微软在诉状中的脚注也承认,在同一个账户生命周期内,“一个微软用户可能拥有多个 GDID”。
微软说明了 GDID 的作用,却没有说明它在 Windows 内部的位置。为此,独立研究人员不得不对其进行逆向工程,因为微软在 Azure Monitor 的 Delivery Optimization 报告参考文档中只写过一句关于 GDID 的说明,其中名为 GlobalDeviceId 的列仅被描述为“微软全局设备标识符。这是微软内部使用的标识符。”
真正的链条始于微软账户服务。

当 Windows 为一台设备配置微软账户时,一个名为 wlidsvc 的系统服务会与 login.live.com 通信,并在服务器返回的 SOAP 响应中获得微软所称的 Device PUID,也就是 Passport Unique ID。由服务器分配。Windows 不会基于你电脑上的任何内容在本地计算它。它接收一个字符串并将其存储起来。
PUID 会以明文形式落入你自己的注册表配置单元中,位于 HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties 下的名为 LID 的值里。随后,Connected Devices Platform,也就是同一个后台服务(以 CDPSvc 运行的 cdp.dll),负责 Phone Link、云端剪贴板和附近共享,会读取该 PUID,并将其注册到微软的 Device Directory Service 中,这个服务是微软所有跨设备功能背后的身份图谱。在那里,这个数字会在前面加上小写 g,并写成 g:decimal。之后,每当你的电脑通过点对点方式共享或下载更新数据时,Delivery Optimization 又会把同一个值作为 UCDOStatus.GlobalDeviceId 回传给微软服务器。
用通俗的话来说:用微软账户登录 Windows,服务器就会给你的安装分配一个永久 ID 号。Windows 会把它保存在本地,多个后台服务会读取它,而你的电脑向微软回传的活动也会带上这个标记。
重装 Windows 会得到一个新号码,但微软自己的记录足以把新号码通过同一个账户、OneDrive 和激活历史关联回旧号码,这与 Stokes 的情况高度相似。
Stokes 之所以落网,是因为他所有事情都用同一台 Windows 设备,而 GDID 在事后把这一切串了起来。
Scattered Spider 成员用 Google Voice 号码给珠宝零售商的 IT 帮助台打电话,假装成被锁定账户的员工,并说服支持人员重置了三个账户,其中两个拥有管理员权限。随后他们安装了名为 ngrok 的隧道工具绕过零售商的网络防御,使用 ngrok 和另一个名为 Teleport 的工具将大约 77GB 数据转移到亚马逊云存储,尝试部署勒索软件但失败,接着又发送了一封勒索邮件,主题为“IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY [sic].” 他们索要 800 万美元加密货币。零售商拒绝了,承担了约 200 万美元的清理成本,然后继续运营。
调查人员后来向 ngrok 发出传票,发现攻击中使用的账户创建于 2025 年 5 月 12 日 UTC 时间 19:21,来源是由托管服务商 Tzulo 运营的一个 VPN 代理 IP 地址。这个 IP 走进了死胡同。VPN 代理就是会这样。但 GDID 不一样。
来源:DOJ微软的记录显示,就在同一分钟,一台带有 GDID g:6755467234350028 的 Windows 设备访问了 ngrok 的注册页面。三小时后,同一个 GDID 通过用于创建 ngrok 账户的同一个 Tzulo 代理地址访问了零售商自己的网站。它给了 FBI 一个设备,而这类设备不像 VPN 出口节点那样会轮换。
从这里开始,调查就变成了拼接线索。一旦探员掌握了该设备使用过的每个 IP 地址时间线,他们就将其与检方已怀疑属于 Stokes 的账户登录记录进行交叉比对:
当然,单独看这些活动都不算可疑。真正让案件成立的是,同一个 GDID 和同一台物理 Windows 安装,在大约八个月内横跨四个国家的时间线中,持续在调查人员已知属于 Stokes 的账户出现的精确时间点上反复出现。
需要注意的是,微软此前就曾在 2024 年 10 月的一份刑事转介中向 FBI 标记过 Stokes,该文件提到“在线服务遥测”。
没有人认为抓错了人。根据 DOJ 的数据,Stokes 与 Scattered Spider 其他成员一起,被指控参与了 100 多起企业入侵和超过 1 亿美元的赎金支付。就这个案子而言,系统按预期发挥了作用。
让研究人员不安的是案件揭示的其他一切。知名恶意软件研究员 Costin Raiu 在 Three Buddy Problem 播客上提问,这种机制在其他平台上有多少,是否与硬件有更持久的绑定。另一位安全研究员 Matthew Hickey 则称 Windows 是“监控软件”。

有两点支持这一说法:
是的,每个主流操作系统都保留某种持久设备身份,每家厂商都可能被传票要求提供数据。但微软的不同之处在于可见性和控制权,而 Windows 在这两方面都输给了苹果和谷歌的平台。
重装 Windows 并不是人们以为的解决办法。你会得到新的 GDID,但如果又登录同一个微软账户,微软仍然有充分理由把它与你的旧活动关联起来。下面这些办法更有帮助:




我高兴 Stokes 被抓了吗?是的,毫不犹豫。一个十几岁的少年一边敲诈珠宝店,一边炫耀刻着“HACK THE PLANET”的钻石项链,35 页材料里几乎没有同情空间,不管微软的遥测在构建案件中起了什么作用。
但这并不意味着 GDID 就没问题。每一家卖软件的公司都有类似机制,而将持久设备身份纳入激活和反欺诈系统,是合理的设计。让我在意的是,大多数人在这样的联邦法院文件出现之前,根本没听说过 GDID 这个词。微软只在面向企业 IT 管理员提取更新报告的 Azure Monitor 参考表里写过一句话,而不是面向那些生成这些数据的约 16 亿普通用户。
你或许足够懂技术,可以关闭活动历史、选择本地账户,并清除所有可选遥测,但这都改变不了标识符存在的事实,也改变不了它听命于你的微软账户而不是你本人。微软只是直到法院迫使其回应时,才向公众披露了它。