#
OSINT
2026-04-27
OSINT 开源情报
本文档基于 OSINT 思维导图整理而成,涵盖情报基础、环境配置、搜索语法、分析思维、工具集、社交媒体情报、泄露数据调研等核心模块。
一、开源情报与法律分析
1.1 背景
在国家安全方面,通过网络手段搜集和处理信息,开源情报是传统情报搜集的一种补充方式。在网络安全方面,需要主动检测识别评估各种威胁,获取最新数据漏洞、数据泄露信息,开源情报搜集是其必须掌握了解的手段。
1.2 情报定义
情报:一切由人为搜集、整合、处理、分析,便于特定用户理解利用的信息。
1.3 情报来源
| 类型 | 具体形式 |
|---|---|
| 数字化 | 数据库、媒体、网站 |
| 实体化 | 报纸、书籍、研究报告、公开发表 |
1.4 应用领域
- 商业:商业竞争情报
- 军事:军事动态分析
- 网络安全:安全威胁和漏洞检测、安全意识培训、安全监控和应急响应
- 国家安全:政治军事动态、军事变化与潜在地缘政治风险
- 对内舆情:经济情报和科技监测
- 个人:搜索语法应用,价值高
1.5 相关法律法规
| 法律名称 | 说明 |
|---|---|
| 《国家安全法》 | 维护国家安全的基本法律 |
| 《反间谍法》 | 防范和制止间谍行为 |
| 《反恐怖主义法》 | 防范和惩治恐怖活动 |
| 《网络安全法》 | 保障网络安全,维护网络空间主权 |
| 《数据安全法》 | 规范数据处理活动,保障数据安全 |
| 《个人信息保护法》 | 保护个人信息权益 |
| 《著作权法》 | 保护文学、艺术和科学作品作者的著作权 |
| 《反不正当竞争法》 | 制止不正当竞争行为 |
二、构建和配置
2.1 虚拟机
概念:计算机操作系统上的操作系统。
常见种类:
- VirtualBox — 开源免费,轻量级
- VMware — 功能强大,商业软件
2.2 操作系统(Linux)
权限管理
| 概念 | 说明 |
|---|---|
| root | 超级管理员权限 |
| 普通 user | 普通用户权限 |
| sudo | 临时提权执行命令 |
| 文件权限 (chmod) | 修改文件读写执行权限 |
常用命令
| 命令 | 用途 |
|---|---|
ls | 列出目录内容 |
cat | 查看文件内容 |
less | 分页查看文件 |
head | 查看文件头部 |
passwd | 更改密码 |
su | 切换用户 |
cut | 从文件每一行中提取指定字段或字符 |
sed | 对文本进行过滤、替换、删除、插入等操作 |
rg (ripgrep) | 极快的递归搜索工具 |
特殊权限位:
- 粘滞位 (
chmod +t):通常只用于共享目录,只能由特定用户删除 - 冒险位 (
chmod g+s):临时性权限提升
系统信息查看:
- 查看内核版本:
cat /etc/os-release/cat /proc/version/uname -a - 查看用户信息:
cat /etc/passwd - 查看影子文件:
cat /etc/shadow - 查看当前用户:
who am i
包管理
- dpkg — Debian 包管理器底层工具
- apt — 高级包管理工具
编辑器
- vim — 功能强大的终端编辑器
- nano — 简单易用的终端编辑器
解压
- gunzip — 解压 .gz 文件
2.3 杀毒软件(ClamAV)
# 安装
sudo apt install -y clamav clamav-daemon
# 更新病毒数据库
sudo systemctl stop clamav-freshclam
sudo freshclam
# 启动
sudo systemctl start clamav-freshclam
# 扫描
clamscan -r -i / # 递归扫描,仅显示感染文件
clamscan -r -i --remove=yes / # 扫描并自动删除2.4 代理配置
- proxychains4:通过配置文件
/etc/proxychains4.conf实现终端代理(较麻烦) - 直接翻墙:使用其他代理方式
2.5 系统清理工具
sudo apt install bleachbit2.6 浏览器插件
下载与安装
# 下载 OSINT 浏览器插件模板
sudo curl -O https://inteltechniques.com/data/osintbook10/ff-template.zip
# 安装
# 1. 访问 about:profiles
# 2. sudo cp -R * ~/.mozilla/firefox/*.default-esr三、开源情报搜索语法
3.1 Google Dorking
定义:一种搜索运算符,用于搜索有用信息、排除不必要信息的方法,应用广泛。起源于黑客在 Google 检索敏感信息的一种技巧。
应用场景:博文分析、跟踪网络威胁、跟踪网络舆情。
3.2 搜索引擎基础
定义:一种 Web 应用,根据用户所请求的内容从数据库中检索后返回结果(不同地区检索结果不一样)。
网络分层:
| 层级 | 说明 |
|---|---|
| 表网 (Surface Web) | 可被搜索引擎索引的公开网页 |
| 深网 (Deep Web) | 未被搜索引擎索引的内容 |
| 暗网 (Dark Web) | 需要特殊软件访问的匿名网络 |
工作原理:
- 爬行:爬虫机器人(Google Bot、Bing Bot)及相关人员负责挖掘数据
- 索引:爬取到数据后建立索引
- 查询:用户搜索时返回特定内容
3.3 搜索引擎分类
| 类型 | 代表 |
|---|---|
| 表网搜索引擎 | Google、Bing |
| 专业搜索引擎 | 谷歌学术、安娜的档案 |
| 深网搜索引擎 | DuckDuckGo |
| 暗网搜索引擎 | TorLink、Ahmia |
| 元数据搜索引擎 | SearX、Start Page、Million Short |
| 高级 AI 引擎 | Cylect.io |
| FTP 搜索引擎 | Mamoht、FreewareWeb |
| 其他 | Brave |
3.4 Google 搜索语法
| 运算符 | 说明 |
|---|---|
inurl: | 在 URL 中检索指定关键词 |
" "(双引号) | 精确匹配,要求结果包含完整检索词 |
-(减号) | 排除运算符,排除某些结果 |
site: | 后接域名,在该域名下检索关键字 |
filetype: | 指定文件类型(如 pdf、ppt、kml 等),可配合 AI 使用 |
intitle: | 在标题中检索,可加 all 强制所有单词出现 |
OR | 或运算,满足任一条件即可 |
*(通配符) | 匹配一个或多个单词的占位符 |
..(范围) | 在两个标识符之间搜索(如数字或年份) |
related: | 查找与指定网站相关联的其他网站 |
&tbs=cdr:1,cd_min:1/1/0 | 自定义日期范围搜索 |
3.5 Bing 搜索语法
| 运算符 | 说明 |
|---|---|
linkfromdomain: | 查找目标网站上的所有链接 |
contains: | 通过文件类型进行搜索 |
3.6 Yandex 搜索语法
| 运算符 | 说明 |
|---|---|
<< | 检索两个关键词之间存在关系的网页 |
~~ | 排除特定符号 |
/2 | 指定两个术语之间的长度(2 为变量) |
& | 一句话中包含两个单词 |
&& | 整个文档中检索单词 |
+ | 后面术语必须包含 |
! | 形态锁,锁定单词的精确形态 |
date:YYMMDD | 日期过滤 |
lang: | 语言过滤 |
3.7 实时监控
- Google Alerts:https://www.google.com/alerts
四、情报分析思维
4.1 情报本质
定义:不断根据可用信息(对决策者有用的信息)进行判断的过程。
发展方向:丰富接触以及收集信息的形式,通过 AI 辅助判断。
情报期望:准确、识别威胁、防止意外、保障公众安全。
4.2 情报分析人员
作用:
- 减少情报人员的不确定性
- 最大限度利用稀缺资源
要求:及时、有针对性、准确。
核心能力:理解和解释当前形势,并以此为基础预测未来,为事件定义意义。
4.3 情报分析核心
问题导向:情报分析人员通过解决问题来为决策者提供辅助决策信息。
界定问题 → 制定目标。
4.4 背景分析
任何问题的解决都有赖于对问题及问题周边的了解。在搜集及分析情报时,先做背景调查。
4.5 时间维度
考虑时间复杂度。
4.6 反向逆推(先射箭后画靶)
确定所需要发生的事,使未来成为现实。
4.7 计划谬误
现象:对时间和预算过于乐观,无法达到预期效果。
解决办法:
- 查看类似的项目
- 获取类似项目的统计数据
- 把项目与参考项目进行对比,以确定最可能的结果
核心:消除乐观偏差,制定周密的计划,以达到预期效果。
4.8 知识类型
| 类型 | 说明 |
|---|---|
| 隐性知识 | 心智内部运作 |
| 显性知识 | 外化与他人交流的知识 |
4.9 推理方式
| 推理类型 | 说明 |
|---|---|
| 演绎推理 | 慢慢走向结论,而非一蹴而就(已知但不一定考虑) |
| 归纳推理 | 以具体例子为基础,试图发展一般性结论 |
| 择优推理 | 根据事实做出最合理的结论 |
| 直觉 | 简单的识别,前提是在稳定的环境中 |
4.10 信息特征
- 信息过剩 — 信息量过大
- 信息的多样性 — 来源多样
- 信息的可信度 — 需要甄别真伪
4.11 上下文
将碎片化信息置于更广阔多维的背景下进行解读。
4.12 证据分析
| 类型 | 说明 |
|---|---|
| 证据定义 | 支持论点和假设的信息 |
| 正面证据 | 判断证据的可靠性和真实性 |
| 反面证据 | 挑战或否定既有假设的关键信息,迫使重新审视结论 |
| 缺乏证据 | 不代表"情况不存在",而是存在"信息缺口",需明确界定 |
| 亚历山大之问 | 什么新信息会使你改变主意? |
4.13 语言:类比与隐喻
| 类型 | 说明 |
|---|---|
| 类比 | 对两个不同实例的相似之处进行比较 |
| 隐喻 | 暗示,不同语境下意思不同 |
4.14 专家知识
某一领域拥有知识和技能的人。
4.15 预言
- 预测市场
- 预期与预测
- 意外之事
4.16 复杂性
- 行为解释:行为分析
- 不确定性
- 假设
4.17 服从性
打工人要具有"奴性"(指在组织中的服从与配合意识)
五、开源情报工具
| 工具类别 | 工具名称 | 说明 |
|---|---|---|
| 代理 | — | 科学上网工具 |
| 办公 | WPS | 文档处理 |
| 元数据提取 | ExifTool | 提取文件元数据 |
| 文档下载 | Metagoofil | 从目标域下载文档 |
| PGP 公钥解码 | GPG Decoder / Kali gpg | 在线/离线解码 |
| 邮箱验证 | Gold Tools | https://www.gold-tools.com/email-validator |
| 加密货币追踪 | Etherscan | https://etherscan.io/ |
| WiFi 数据库 | WiGLE | https://wigle.net/search |
| 历史存档 | Wayback Machine | 网页历史快照 |
| Docker | changedetection.io | docker pull ghcr.io/dgtlmoon/changedetection.io |
| Maltego | Transform | 信息搜集代码,支持 breaches(合法泄露)和 leaks(非法泄露) |
六、社交媒体情报搜集
6.1 LinkedIn 情报搜集
检索技术:
- 姓名检索
- 个人资料检索
- 公司检索
- 时间戳检索:https://inteltechniques.com/tools/Linkedin.html
- PDF 简历:https://www.signalhire.com/
- 国家过滤
- 搜索引擎检索
6.2 Twitter 情报搜集
身份伪造:
- AI 头像生成:https://thispersondoesnotexist.com
姓名和背景伪造:
- ElfQrin:https://www.elfqrin.com/fakeid.php
- Fake-Name Generator:https://www.fakenamegenerator.com
检索技术:
- 高级图文检索:https://twitter.com/search-advanced
- 关键字检索
命令检索:
from:— 从某人发出to:— 回复某人filter:— 过滤since:/until:— 时间范围geocode:— 地理位置near:— 城市位置
推文分析平台:
- TweetDeck:https://tweetdeck.twitter.com/
- Social Searcher:https://www.social-searcher.com/
6.3 Telegram 情报搜集
检索语法:
site:telegram.me "osint"
site:t.me "osint"
site:telegra.ph "osint"分析平台:
- Telemetr:https://telemetr.io/ru/channels
- TGStat:https://tgstat.ru/
- Lyzem:https://lyzem.com
- Telemetr.me
- Telegcrack.com
6.4 社区情报搜集
- 强制标题搜索:
https://www.reddit.com/search?q=title:OSINT - 用户搜索:
https://www.reddit.com/user/inteltechniques - 帖子搜索:
https://www.reddit.com/user/inteltechniques/comments/ - 消失帖子存档:https://files.pushshift.io
4chan
- 4chan 搜索:https://4chansearch.com
Discord
其他
- BugMeNot:URL 历史泄露信息
- TikTok:短视频平台情报
Start.me 情报面板:
- Leak:https://start.me/p/m6LBAY
- Daily Dark Web Intelligence:https://start.me/p/ARE6gQ/daily-dark-web-intelligence
- OSINT:https://start.me/p/GE7JQb/osint
七、泄露数据调研
| 类别 | 说明 |
|---|---|
| 窃密器 | 窃取信息的恶意软件 |
| 木偶数据 | 伪造/虚假数据 |
| Leak(合法) | 合法手段泄露的信息 |
| Breaches(非法) | 非法手段获得的泄露信息 |
| COMB List | 多次数据泄露的汇总集合 |
| Ransomware | 勒索软件(参考:deepdarkCTI) |
| 选民数据 | www6.ohiosos.gov / breach directory / leakpeek |
| 威胁情报 | https://threatintelinsight.com |
| DDoS 数据 | https://data.ddosectets.com |
八、补充知识点
8.1 AD 技术(广告追踪)
某些人或机构会通过 AD 技术将你所有社交媒体进行串联,可通过做虚拟画像监控其行为。所以在进入特定网站时,一定避免指纹外泄,防止被溯源风险。
- AD 技术:广告追踪技术,将互联网用户构建成一个个虚拟画像,一个终端就是一个 ID
- 技术实施方式:指纹(OS 版本、登录 IP 等)
8.2 网络安全与传统情报
网安是传统情报思维的一种延伸。
8.3 加密货币
| 币种 | 说明 |
|---|---|
| 比特币 (Bitcoin) | 第一个区块链和加密货币 |
| 以太坊 (Ethereum) | 支持智能合约和去中心化应用 |
| 莱特币 (Litecoin) | 比特币衍生品,交易更快 |
| 门罗币 (Monero) | 隐私加密货币,匿名性强 |
| 瑞波币 (XRP) | 实时跨境支付和资产转移 |
| 稳定币 (USDT/USDC) | 价值与美元挂钩 |
| 波场 (TRON) | 去中心化娱乐内容生态系统 |
| 链环 (Chainlink) | 去中心化 Oracle 网络 |
8.4 WiFi 信息
- SSID:WiFi 名称
- BSSID:MAC 地址
8.5 威胁情报平台
8.6 接码平台
8.7 专业方向
- 网络空间专业:偏向管理
- 信息安全专业:偏向技术
本文档由 OSINT 思维导图整理而成,仅供参考学习使用。
TAGS:
OSINT
相关推荐
- 暂无相关推荐,看看别的吧。
0 评论