OffensiveTR/osint-rehberi
GitHub: OffensiveTR/osint-rehberi
一份基于情报周期的场景化 OSINT 综合指南,系统讲解从规划、信息收集、分析到报告的开源情报全流程方法论与工具链。
Stars: 12 | Forks: 1
## 📍 目录
1. [阶段 1:规划与定向(战略与安全)](#aşama-1-planlama--yönlendirme-strateji-ve-güvenlik)
* [OpSec 安全(技术)](#-opsec-güvenliği-teknik)
* [道德界限与法律框架](#️-etik-sınırlar-ve-yasal-çerçeve)
2. [阶段 2:信息收集(获取原始数据)](#aşama-2--bilgi-toplama-ham-veri-edinme)
* [搜索与泄露分析](#-arama-ve-sızıntı-analizi)
* [社交媒体情报 (SOCMINT)](#️-sosyal-medya-istihbaratı-socmint)
* [技术基础设施扫描](#-teknik-altyapı-taraması)
* [域名与 DNS 历史](#-alan-adı-ve-dns-geçmişi)
* [企业情报 (Business/Corporate INT)](#-kurumsal-istihbaratı-businesscorporate-int)
* [公共记录情报 (Public Records INT)](#️-resmi-kayıt-istihbaratı-public-records-int)
* [网页归档](#-web-arşivleme)
* [图像反向搜索 (IMINT)](#️-görüntü-tersine-arama-imint)
* [地理数据收集 (GEOINT)](#-coğrafi-veri-toplama-geoint)
* [航空情报 (AVINT)](#️-havacılık-istihbaratı-avint)
* [MARINT(海事情报)](#-marint-denizcilik-istihbaratı)
* [FININT(金融情报)与加密 OSINT](#-finint-finansal-istihbarat--kripto-osint)
* [SIGINT(信号情报 - 公开层面)](#-sigint-sinyal-istihbaratı---halka-açık-yönü)
3. [阶段 3:处理与评估(数据提纯)](#aşama-3-⚙️-işleme--değerlendirme-veriyi-ayıklama)
4. [阶段 4:分析与生产(线索串联)](#aşama-4--analiz--üretim-noktaları-birleştirme)
* [精通级:分析方法论](#️-ustalık-seviyesi-analitik-metodoloji-en-kritik-adım)
* [认知偏见 (Cognitive Biases) 与管理](#-bilişsel-yanlılıklar-cognitive-biases-ve-yönetimi)
* [结构化分析技术 (SATs)](#️-yapılandırılmış-analitik-teknikler-sats)
5. [阶段 5:发布(报告生成)](#aşama-5--yayim-raporlama)
6. [推荐书籍与进阶阅读](#📚-önerilen-kitaplar-ve-ileri-okumalar)
7. [学术案例分析:“operation:暗影网络”](#🎓-akademik-vaka-analizi-operasyon-gölge-ağ)
# OSINT 指南!
**情报周期与应用阶段**
## 阶段 1:规划与定向(战略与安全)
这是战略的起始阶段,主要明确任务目标,确定所需资源,划定道德界限并确保操作安全 (OpSec)。
### 操作安全 - OpSec 安全
操作安全是任务的基石。
- 为了隐藏 IP 和数字痕迹,必须使用 VPN!建议使用受信任的 `Proton VPN`、`Mulvad VPN` 等服务(具有“Kill Switch”和“Split Tunneling”功能,并遵循“No Log Policies”政策!)。
- 关闭并移除你所用操作系统中不必要的遥测和数据收集权限!
- 持续保持你使用的“浏览器和操作系统”处于最新更新状态!
**沙盒化与隔离:** 在与个人计算机隔离的环境中(如 `Tails`、`Whonix`、`Unix` 和 `Qubes Os` 等以开源和隐私优先的操作系统),使用 `VirtualBox` 或 `VMware` 等虚拟机进行 OSINT 研究是至关重要的。
- **通信安全**
OSINT 操作的成功与否取决于其最薄弱的环节,而这个环节通常是通信。与来源、目标或团队成员的接触必须保密,这对于保护整个行动至关重要。此时,端到端加密 (End-to-End Encryption - E2EE) 不是一种奢侈,而是基本要求。
你可以使用的应用:
`Signal`、`Element` 应用以及 `Telegram` 的(Secret Chat)功能!
`WhatsApp`(由于 Meta 会收集元数据,因此不予推荐。)
- **PGP / GPG 加密**
为了在电子邮件或文件等更传统的通信渠道中提供高安全性,可以使用 PGP(或其免费替代品 GPG)。
该系统基于非对称加密。其工作原理如下:
每个用户都有两把密钥:一个是公钥 (Public Key),另一个是私钥 (Private Key)。
公钥:就像一把数字挂锁。你可以安全地将其分发给任何人(或仅仅是你想要通信的人)。
私钥:是打开那把锁的唯一钥匙。你绝不能与任何人分享它,并要妥善保管。
当你想向某人发送秘密信息时,你使用他们给你的公钥(挂锁)来锁定你的消息或文件。这个被锁定的消息只能由拥有对应私钥的那个人来解锁。
这种方法确保了消息只能被目标接收者读取。你可以使用 `Kleopatra`。
- **匿名搜索与广泛搜索:** 在研究时应使用以隐私为中心的搜索引擎,如 `DuckDuckGo`、`Brave Search`、`Starpage`,以及安全的浏览器如 `Firefox` 或 `Tor Browser`。
- **虚拟身份 (Sock Puppet):** 为 OSINT 研究创建虚假身份 时,根据操作的重要性,使用的电子邮件服务可分为三类:
1. **一次性快速身份:** 对于简单、快速且基于“即用即弃”原则创建的账户,可以使用 `temp-mail`、`Guerrilla Mail` 或类似的临时电子邮件服务。这些服务会在短时间内保留电子邮件,且不提供永久身份。
2. **永久但匿名的身份(别名):** 如果你希望身份是永久的,但又不想暴露主电子邮件地址(例如你的主 ProtonMail 地址),那么像 `SimpleLogin` 或 `AnonAddy` 这样的电子邮件别名服务是理想的选择。这些服务会为你创建的每个虚假身份提供一个单独的“掩码”电子邮件地址,并将收到的邮件转发到你的安全主收件箱。
3. **重要且高安全性的行动:** 在不被发现至关重要、需要保持低调并在自然流动中收集情报的重要事项中,需要完全独立且安全的服务。在这种情况下,应首选提供端到端加密且重视匿名性的服务,例如 `ProtonMail`、`Tuta Mail` 和 `Posteo Mail`。或者,(尽管需要极高的技术 OpSec 知识)也可以使用连接到你自己的服务器的电子邮件地址。
- 利用 AI 生成现实生活中不存在的真人照片的网站:[thispersondoesnotexist.com](https://thispersondoesnotexist.com/)。你可以在虚假身份中使用它们。
- **打破技术归因:** 聪明的目标不仅仅通过你的 IP 来识别你。他们还会关注你的浏览器指纹 (`Browser Fingerprint`):你使用的字体、屏幕分辨率、浏览器扩展程序……这是在数百万人中让你变得“独一无二”的签名。
- **如何解决:** 混入羊群。也就是使用世界上使用最广泛的分辨率、字体和操作系统的组合。
- **此外:**
- 最大限度地利用浏览器的独特隐私设置(例如在 Firefox 中激活 `privacy.resistFingerprinting` 设置)。
- 在不可信的来源(如 `.onion` 扩展名的网站)中搜索时,尽量不要全屏使用浏览器。网站通常会记录你的屏幕分辨率,从而通过指纹识别你。
你可以通过以下网站测试你的网络指纹:“https://coveryourtracks.eff.org/”。
- **网站和来源的可靠性(克隆/虚假网站检测):** 在研究期间遇到的每个网站可能都不是安全的或不包含准确的信息。有些网站可能是作为流行平台或新闻来源的精确复制品(克隆)而设计的。
这些网站的目的是破坏你的行动:
- **虚假信息(误导):** 故意引导你得出错误的结论。
- **去匿名化(陷阱):** 通过虚假的登录页面或 IP 记录器捕获你的虚假身份 和真实 IP 地址。
- **欺诈与恶意软件:** 窃取你的信用卡信息或用恶意软件 感染你的设备。
在信任某个网站或打开文件之前,使用以下工具进行快速安全检查是至关重要的 OpSec 步骤:
- **`VirusTotal`:** 不仅用于扫描你下载的可疑文件,还可用于扫描 URL。它利用数十种防病毒引擎的数据库,在几秒钟内显示某个地址或文件是否被标记为恶意。
- [virustotal.com](https://www.virustotal.com/gui/home/upload)
- **`PhishTank`:** 一个由社区维护的庞大数据库,用于检查网站是否为已知的“钓鱼”网站。
- [phishtank.com](https://phishtank.com/index.php)
- **`ScamAdviser`:** 专门分析电子商务或服务网站的可靠性。它根据网站的年龄、所有者、位置和用户评论生成信任评分。
- [scamadviser.com](https://www.scamadviser.com)
**额外的手动检查:**
- **肉眼检查 URL:** 仔细阅读地址栏。是否存在诸如用 `go0gle.com` 或 `googIe.com`(大写字母 'i')代替 `google.com` 的“typosquatting(域名拼写错误陷阱)”?
- **SSL 证书:** 点击浏览器中的锁图标,快速检查证书是颁发给谁(哪家公司)以及何时颁发的。
### 道德界限与法律框架
确定研究的“红线”(哪些信息可以收集,哪些不能)。尊重隐私并遵守地方/国际法律(如 KVKK、GDPR 等)至关重要。
## 阶段 2:信息收集(获取原始数据)
### 搜索与泄露分析
- **OSINT Framework:** 它不是一个收集工具,而是一个庞大的目录和路线图,指明针对特定目标应使用何种工具或数据源。
- [osintframework.com](https://osintframework.com)
- 备选:(https://bellingcat.gitbook.io/toolkit)
- **极佳的参考 GitHub 资源:** 业界最受认可且不断更新的工具与资源合集。
- [github.com/jivoi/awesome-osint](https://github.com/jivoi/awesome-osint)
- [github.com/tracelabs/awesome-osint](https://github.com/tracelabs/awesome-osint)
- [github.com/cipher387/osint\_stuff\_tool\_collection](https://github.com/cipher387/osint_stuff_tool_collection)
- [https://github.com/Astrosp/Awesome-OSINT-For-Everything](https://github.com/Astrosp/Awesome-OSINT-For-Everything)
- **Google Dork 与元搜索引擎:** 使用高级搜索运算符查找隐藏的文件、数据库和泄露。
- 使用示例:([https://exposingtheinvisible.org/guides/google-dorking/](https://exposingtheinvisible.org/guides/google-dorking/))
- `Dogpile` ([dogpile.com](https://www.dogpile.com/)) 是一个“元搜索引擎”。它汇总了 Google、Bing、Yahoo 等多个搜索引擎的结果。
- **泄露数据库:** `Dehashed`、`HaveIBeenPwned`、`LeakCheck.io`、`IntelligenceX`、`Socradar.io`。
- **暗网扫描:** 扫描 `.onion` 网站和地下论坛中的泄露和被盗数据(需要 `Tor Browser`)。
### 社交媒体情报 (SOCMINT)
从社交媒体资料和网络(好友列表、点赞、被标记的照片、帖子)中收集原始数据。
- **用户名扫描:** `Sherlock`、`Maigret`、`WhatsMyName`(在众多平台上扫描用户名)。
- **Twitter (X) 专项分析:** `Twint`(高级 Twitter 数据抓取/归档工具),`Followerwonk`(Twitter 简介分析和粉丝对比)。
- **电话号码分析:** `PhoneInfoga`、`GetContact`、`CallerID`(从电话号码查找运营商、国家和社交媒体链接)。
- **面部搜索:** `FaceCheck.id`(从面部照片查找其他社交媒体资料或相似图像)。
- **自动化搜索:** `Seekr-OSINT`(在 Reddit、Telegram、X 等平台上进行自动化搜索)和 `SpiderFoot`(针对目标从许多来源自动收集数据并绘制关系图谱)。
- **Meta 内容库:** 访问 Meta 的 Facebook 和 Instagram 数据(主要是学术用途)的工具。
非常好的选择。这两种工具是行业标准,非常适合互相补充,适用于你指南中的**密码学**和**隐写术**部分。
我为你准备了一个部分,说明这些工具的作用以及如何在 OSINT/CTF 环境中定位它们,以便你将其添加到你的指南中:
### 密码学与隐写术(揭示隐藏数据)
在 OSINT 调查或 CTF 比赛中,你要找的信息(flag)并不总是以明文 形式出现。有时它可能是加密文本(密码学),或者是隐藏在看似无害的图像文件中的数据(隐写术)。
在本节中,我们将介绍用于克服这两个常见障碍的两个基本工具。
#### 1. dCode.fr(密码学领域的瑞士军刀)
- **URL:** `https://www.dcode.fr/`
- **用途:** **密码学。**(解密加密或编码的文本)
- **描述:** dCode 是你了解和破解遇到的“无意义”文本块的首选之地。它是一个庞大的在线库,能够识别数百种加密方法(如凯撒密码、维吉尼亚密码、埃特巴什密码)、编码(如 Base64、Hex、摩斯密码、ASCII)以及历史字母表。
- **最强大的功能:** **自动识别器**。当你将密文 粘贴到主页的“Chiffrement Inconnu”(未知密码)框中时,dCode 会替你分析它可能是用哪种方法加密的,并列出可能的解密结果。
- **OSINT/CTF 场景:** 你在目标网站的源代码中找到了一条类似 \`\` 的注释。你知道这看起来毫无意义。将其粘贴到 dCode 中,它会立刻告诉你这是通过 **Base64** 编码的,意思是“secret password: 45”。
#### 2. Aperi'Solve(隐写术专家)
- **URL:** `https://aperisolve.fr/`
- **用途:** **隐写术。**(寻找隐藏在文件中的数据)
- **描述:** Aperi'Solve 是一个专门针对图像文件的在线隐写分析平台。它旨在查找隐藏在图像内部的其他文件、文本或线索。
- **最强大的功能:** **一体化分析。** 当你上传文件时,Aperi'Solve 会在后台自动运行 `zsteg`、`steghide`、`outguess`、`exiftool`、`binwalk`、`foremost` 和 `strings` 等最流行的数字取证 和隐写工具。它会分析图像的不同颜色层,提取其元数据 (EXIF),并列出可从中提取的隐藏文件。
- **OSINT/CTF 场景:** 在一个 CTF 挑战中,你只得到了一个 `.png` 或 `.jpg` 文件。图像中没有任何线索。当你在 Aperi'Solve 中上传该图像时,你可以在“Strings”选项卡中找到一个密码,并在“Binwalk”选项卡中找到一个嵌入 在图像中的 `.zip` 文件。
-
### 技术基础设施扫描
- **基础设施识别:** `Whois`(域名所有权信息)。
- **Recon 框架:** `Recon-ng`(用于基于 Web 的侦察的模块化框架),`TheHarvester`(收集电子邮件、子域名、员工姓名和开放端口)。
- **设备/服务扫描:** `Shodan`、`Censys`(扫描连接到互联网的设备、端口和服务)。
- **技术检测:** `Wappalyzer`(插件),检测网站使用的技术(服务器、CMS、分析工具)。`BuiltWith` ([builtwith.com](https://builtwith.com)) 是一个庞大的数据库,也可以显示该网站在历史上(过去)使用的技术。两者互为补充,是最重要的“技术检测”工具。
- **漏洞数据库:** `Exploit-DB`、`GGTFOBins`,用于搜索系统已知的漏洞利用程序。例如,首先使用 `Shodan`、`Censys` 或 `Wappalyzer` 找到目标(服务器、服务、软件)。然后,你可以在 `Exploit-DB` 中检查你发现的软件(例如:`Apache 2.4.51`)是否存在已知漏洞。
### 域名与 DNS 历史
查看一个网站过去托管在哪些 IP/服务器上,或使用了哪些技术。
- **服务器历史:** `Netcraft`。
- **DNS 记录:** `DNSDumpster`、`SecurityTrails`(历史 DNS 记录和子域名)。
- **DNS 查询:** `nslookup`(反向 DNS 查询)。
### 企业情报 (Business/Corporate INT)
研究公司结构、关键人员、电子邮件格式和财务状况。
- **人员与结构:** `LinkedIn`(Sales Navigator)、`Crunchbase`。
- **电子邮件模式:** `Hunter.io`、`Snov.io`。
- **电子邮件验证:** `holehe`(检查电子邮件地址在哪些平台上注册过)。
### 公共记录情报 (Public Records INT)
研究由政府、市政当局或官方机构保留的公共记录(法庭案卷、地契记录、专利、商标、政治捐款)。
- **工具:** 国家/地方法院门户网站、土地和地籍数据库、专利局搜索引擎(例如 `Google Patents`)、官方公报。
- **人物搜索引擎:** `Pipl`、`Intelius`、`People Finder` 服务。
### 网页归档
- **工具:** `Wayback Machine`、`Archive.today`(访问已删除或被修改网页的历史版本)。
### 图像反向搜索 (IMINT)
- **工具:** `Google Lens`、`TinEye`、`PimEyes`、`Yandex Images`、`Bing Images`、`PhotoSherlock`(查找图像的来源或相似图像)。
### 地理数据收集 (GEOINT)
- **分析:** 从照片和视频中的线索(阴影、建筑、交通标志)确定拍摄地点。
- **实时摄像头 / Wi-Fi:** `Insecam.org`、`Shodan`(webcam 过滤器)、`Wigle.net`(全球 Wi-Fi 网络地图)。
- **工具:** `Geospy`、`Google Earth Studio`、`Google Earth Pro`(标尺和时间轴工具)、`Creepy`(从社交媒体帖子收集位置数据)、`SunCalc.org`、`Twilight Map` ([in-the-sky.org/twilightmap.php](http://in-the-sky.org/twilightmap.php))(用于阴影分析)、`PeakVisor`(山峰/丘陵识别)、`MapDevelopers`(Draw Circle Tool)。
- **车牌:** 一个按历史存储车牌所属国家的数据库:[worldlicenseplates.com](http://www.worldlicenseplates.com/)。
- **实践:** 你可以通过 **`GeoGuessr`** 游戏练习寻找位置。非常棒!
### 航空情报 (AVINT)
- **航班追踪:** `Flightradar24`、`FlightAware`、`ADS-B Exchange`(实时或过去的飞行轨迹、路线和所有权信息)。
- **路线 / 涂装:** `Airlineroutemaps.com`、`Airlinersgallery.smugmug.com`(航空公司航线图和飞机尾翼涂装)。
### MARINT(海事情报)
跟踪全球供应链和船舶动态(AIS 数据)。
- **工具:** `MarineTraffic`、`VesselFinder`、`FleetMon`(船舶的位置、路线、所有权和货物状态)。
### ₿ FININT(金融情报)与加密 OSINT
在网络犯罪和诈骗分析中追踪资金(尤其是加密货币)流向。
- **区块链浏览器:** `Etherscan`(Ethereum)、`Blockchair`、`BlockCypher`。
- **钱包分析:** `Wallet Explorer`(分析交易历史和钱包与已知交易所的关系)。
### SIGINT(信号情报 - 公开层面)
监听公共无线电频率、卫星信号和 IoT 设备通信。
- **工具:** `SDR (Software Defined Radio)` 硬件、`RadioReference.com`(频率数据库)、`Cel-Mapper`(基站位置)。
## 阶段 3:处理与评估(数据提纯)
- **元数据分析:** `ExifTool`、`pic2map` 等。
- **视频验证:** `InVID`、`WeVerify`(从视频中提取元数据,将其拆分为关键帧 [用于反向搜索] 并提供伪造 媒体检测)。
- **数据清洗:** `OpenRefine`(清洗大量文本、泄露或表格数据,删除重复记录并整合格式以备分析)。
- **图像清晰化:** 如果你不懂 Photoshop,可以使用 `unblur` 或 `deblur` 工具来清晰化那些因模糊而无法获取清晰信息的照片。
## 阶段 4:分析与生产(线索串联)
将处理后的信息结合起来,建立假设,质疑先决条件并得出结论。_精通水平是在此阶段获得的。_
- **链接分析:** `Maltego`、`Obsidian.md`(合并不同的数据点 [人员、电子邮件、公司、IP] 并可视化它们之间的隐藏关系)。
- **地理位置分析:** `ipinfo.io`、`iplocation.net`(通过 IP 地址提取地理位置以深化分析)。
- **数据管理:** `CherryTree`(用于合并收集数据的高级笔记本)。
- **时间轴分析:** 将收集到的所有数据(社交媒体帖子、网站更新、航班记录)按时间顺序排列,以了解事件流向并发现规律。
- **利用 AI 产生见解:** 利用 `GPT`、`Gemini`、`DeepSeek` 等 AI 工具总结收集的原始数据、查询关系或构建潜在的攻击场景。
### 精通级:分析方法论(最关键的步骤)
工具用于收集数据,但“大师级”分析师能从这些数据中得出正确的结论。这始于了解我们大脑对我们设下的陷阱(认知偏见)。
- **真实 OSINT 案例分析(操作指南):** 应当研究 Bellingcat 的案例分析和“操作指南”,以了解分析技术在现实世界中是如何应用的。
- ([https://www.bellingcat.com/category/resources/how-tos/](https://www.bellingcat.com/category/resources/how-tos/))
### 认知偏见 与管理
分析中最大的敌人是分析师自己的大脑。目的是主动防范分析陷阱,如**确认偏误** (_Confirmation Bias_ - 只寻找证实我们假设的证据) 和**锚定效应** (_Anchoring_ - 固执于最初了解到的信息)。
### 结构化分析技术
用于克服认知偏见和处理复杂数据的标准化思维方法论。目的是检验假设并质疑先决条件。
- **示例技术:**
- **ACH (竞争性假设分析, Analysis of Competing Hypotheses):** 针对所有假设对证据进行系统性评分,以找到最可能的情景。(目的是找到最不可能出错的那一个。)
- **Devil's Advocacy (魔鬼代言人):** 积极寻找反面证据,以试图推翻当前的主要假设。
- **Indicators / Signposts (指标/标志):** 确定在未来需要监视的特定事件或数据点,以了解某个假设是否正确。
- **详细的 SATs 文章(学术资源):**
- ([https://www.cia.gov/resources/csi/static/Tradecraft-Primer-apr09.pdf](https://www.cia.gov/resources/csi/static/Tradecraft-Primer-apr09.pdf))
- ([https://www.rand.org/content/dam/rand/pubs/research\_reports/RR1400/RR1408/RAND\_RR1408.pdf](https://www.rand.org/content/dam/rand/pubs/research_reports/RR1400/RR1408/RAND_RR1408.pdf))
## 阶段 5:发布(报告生成)
这是最后阶段,将结果以清晰、易懂、基于证据且可执行的格式(报告、演示文稿、简报)呈现给决策者(客户、高管、读者)。
- **现代 OSINT 实践:** 使用 `Python` (`Jupyter Notebooks`)、`R` 或 `API` 来实现数据提取、处理和可视化的流程自动化,并生成可重复的报告。
## 推荐书籍与进阶阅读
- **_OSINT Techniques: Resources for Uncovering Online Information_** **— Michael Bazzell**
被认为是业内最基础和最全面的资源之一。Bazzell 不断更新他的方法。(截至 2024 年版,约 590 页。)
- **_Open Source Intelligence Methods and Tools: A Practical Guide to Online Intelligence_** **— Nihad A. Hassan & Rami Hijazi**
出版于 2018 年,是一本强大的指南,为情报周期的每个阶段提供了实用的工具和方法。
- **_Deep Dive: Exploring the Real-world Value of Open Source Intelligence_** **— Rae L. Baker**
出版于 2023 年,本书探讨了 OSINT 现代和最新的方面,特别是其在企业界的价值。
## 学术案例分析:“operation:暗影网络”
### 情景:“operation:暗影网络”
**目标:** 通过交叉验证 多个情报学科(IMINT、MARINT、FININT、技术情报),查明代号为“Ph03nix\_7”的虚构威胁行为者的身份、活动位置和洗钱方法。
**初步证据:**
1. **虚拟身份:** `Ph03nix_7`(暗网论坛用户名)
2. **视觉证据:** 目标在 Twitter 上分享的一张照片。配文:“Another day at the office...” 照片包含从窗户看出去的一个_模糊的_港口/海岸线景色。
3. **财务踪迹:** 用于收取勒索资金的一个(现已废弃的)Bitcoin (BTC) 钱包地址。
### 分析阶段与使用的专业工具
**第 1 阶段:探索与图像分析 (IMINT & 自动化)**
分析师启动如 **`SpiderFoot`** 这样的自动化框架来绘制 `Ph03nix_7` 的虚拟身份图谱。同时,将注意力集中在照片上:
- **IMINT(图像搜索):** 照片中模糊的港口景观通过 **`Google Lens`** 或 **`Yandex Images`** 进行搜索。结果非常宽泛(成千上万张港口照片),**无法**识别出特定的地理位置 (GEOINT)。这是第一个“死胡同”,意味着分析师必须为地理定位寻找另一条途径。
- **IMINT(元数据分析):** 照片使用 **`ExifTool`** 进行分析:bash exiftool Ph03nix\_tweet.jpg
- **发现(支点 1):** Twitter 已经剥离了大部分数据,如 GPS 和相机型号。然而,`Date/Time Original`(原始日期/时间)元数据被保留了下来:**`2024-10-26 14:30:12`**。分析师将此时间戳记作关键数据。
**第 2 阶段:枢纽点 (Google Dorking 与威胁情报)**
由于 GEOINT 失败,数字足迹变得更加关键。分析师使用 **`Google Dorking`** 来寻找目标过去的 OpSec 错误。
- 使用特定的 dork,发现了几年前分享的一段代码转储:
intext:"Ph03nix_7" "gmail.com" site:pastebin.com
**发现(支点 2):** 代码的注释行中包含以下信息:
# 作者:James Hawkins <james.hawkins.dev@gmail.com>
该虚拟身份现在已与真实身份关联起来。
- 这个电子邮件地址在如 **`IntelligenceX`** 这样的深度威胁情报档案中进行搜索。在一次数据泄露事件(`MyFitnessPal`)中,发现了与此邮箱一同记录的历史 IP 地址(`81.149.x.x`)。
**第 3 阶段:基础设施与企业验证 (被动 DNS 与企业情报)**
分析师转向使用基础设施工具来验证找到的 IP 和名字:
- IP 地址在如 **`SecurityTrails`**(或 `RiskIQ PassiveTotal`)这样的被动 DNS 平台上进行分析。该 IP 缺乏历史记录,证实了它不是服务器,而是位于“伦敦”的家庭互联网。
- 使用 `LinkedIn` 和 **`theHarvester`**,将“James Hawkins”这个名字与一家名为“SecureData Solutions Ltd.”的公司关联起来。
- 分析师检查 **`Offshore Leaks Database`** (ICIJ) 或相关国家(如塞浦路斯、英属维尔京群岛 BVI)的**官方企业注册处** 记录。
- **发现(支点 3):** 查明“James Hawkins”是该公司的创始董事,且公司的官方地址位于**“塞浦路斯,利马索尔码头”**。
**第 4 阶段:“惊叹”时刻 - 交叉验证 (IMINT + GEOINT + MARINT)**
这是该情景的学术巅峰。分析师手头有两个独立且_未经验证_的数据:
1. **来自照片(步骤 1):** 时间戳:`2024年10月26日, 14:30:12`
2. **来自官方记录(步骤 3):** 地点:`塞浦路斯,利马索尔码头`
- **假设:** James Hawkins 在 10 月 26 日 14:30 时正在他位于利马索尔码头的办公室里,并拍下了那张照片。
- **测试(海事情报 - MARINT):** 分析师打开 **`MarineTraffic`** 平台。
- **行动:** 使用“Playback”(回放)功能。位置设置为 `Limassol Marina`,日期/时间设置为 `2024年10月26日 14:30`(转换为 UTC)。
- **发现(惊人的时刻):** `MarineTraffic` 记录显示,在那个日期和时间,一艘巨大且独特的(例如绿色船体的)**“MV Evergreen”集装箱船**,正从恰好是“SecureData Solutions Ltd.”公司办公室所在地的码头前经过。
- **最终验证 (IMINT):** 分析师返回到步骤 1 中的那张“模糊”照片。他们意识到窗户倒影中那个“模糊的污点”,与通过 `MarineTraffic` 确认了轮廓的**“MV Evergreen”船体**完美吻合。
**第 5 阶段:财务分析与可视化 (FININT)**
现在目标的身份和位置(包括数字和物理层面)都已验证,接下来检查其财务踪迹:
- 使用 **`Blockchair`** 检查 BTC 钱包的交易历史。发现资金流向了一个混币器,但发往该钱包的第一笔测试资金来自一个要求 KYC(了解你的客户)的交易所,如 `Coinbase`。
- 这个复杂的关系网(电子邮件 -> 泄露的 IP -> 公司 -> 经 MARINT 验证的位置 -> BTC 钱包 -> 经过 KYC 的交易所),使用 **`Maltego`** 进行可视化。这生成了一份具体的分析产品(报告),展示了目标的多个致命 OpSec 错误,并成功结案。
### 免责声明
此处推荐的所有资源、方法和工具仅供参考。要更详细地学习它们,请自行进行研究。如果你想在 OSINT 领域取得进步,你应该研究不同的情景、进行实践并做更深入的调查。标签:ESC4, OSINT, 安全培训, 实时处理, 情报分析, 网络安全研究, 网络诊断, 资源指南, 逆向工具, 防御加固