jbrown2523/tracelabs-search-party-ctf-june-2026

# Trace Labs 全球 OSINT 搜索派对 CTF：单人参赛手记

2026年6月6日，我作为单人队伍 **Cipher Stealth** 参加了正式的 [Trace Labs](https://www.tracelabs.org/) 全球 OSINT 搜索派对 CTF。面对超过100支队伍的竞争，这是一次在网络情报社区成长的绝佳经历。 Trace Labs 搜索派对 CTF 并非传统的网络安全游戏。这些案件涉及真实的失踪人员，参与者收集的情报可能会支持真实的调查。其竞赛结构有助于协调和激励工作，但得分并不是最终目的。其核心宗旨是产出准确、相关且负责任地收集到的开源情报，以期提供帮助。 本手记特意排除了所有的案件名称、个人信息、直接来源链接、调查结果和证据截图。遵循 [Trace Labs 关于公开手记的指南](https://docs.tracelabs.org/searchparty/writeups)，本文仅专注于方法论和经验教训。 ## 结果 | 指标 | 结果 | |---|---:| | 队伍 | Cipher Stealth | | 队伍规模 | 1 | | 最终排名 | 第 25 名 | | 提交数 | 19 | | 得分 | 620 |  每支队伍最多可包含四名参与者。单人参赛意味着发现、验证、证据保存、撰写提交和切换案件都需要挤占同样有限的时间。获得第 25 名对我来说意义非凡，但更重要的成果是在遵守规则并以案件应有的严肃态度对待它们的同时，贡献了经过审核的情报。 ## 我所遵循的规则 我的调查始终是被动的且基于公开来源的： - 不联系、关注、发消息、呼叫、标记、回应或以其他方式与任何与案件相关的人员进行互动。 - 不使用私密群组、重置密码、泄露数据、冒充身份、主动扫描或激进抓取。 - 不试图调查或追踪犯罪嫌疑人。 - 不将未经证实的声明作为事实提出。 - 不进行仅基于匹配姓名、用户名或视觉相似度的提交。 - 任何潜在的紧急、敏感或位置相关信息均交由 Trace Labs 指导教练处理。 核心规则很简单：**查看、验证、记录并提交，不进行任何互动**。 ## 我的单人工作流 在活动期间，共有五个活跃的失踪人员案件可供调查。我为每个案件创建了单独的工作区，并在整个过程中使用了相同的结构： ``` Case intake ├── Search log ├── Source register ├── Lead reviews ├── Evidence log ├── Submission register └── Final assessment ``` 这种结构帮助我在不同案件之间切换时保留上下文。它还强制要求进行一项有益的区分： - 我发现的信息。 - 我能够验证的信息。 - 足够相关且值得提交的信息。 这三者并不是一回事。 有关我使用的工具、验证方法、证据工作流和停止条件的更详细、与案件无关的分解说明，请参阅 [单人 OSINT 实地指南](FIELD-GUIDE.md)。 ### 1. 建立基线 我首先记录了通过活动提供的已知标识符、时间线、地理位置和身体描述。我还记录了官方的失踪日期以及已知信息的边界。 官方报告和新闻报道对于了解每个案件很有用，但它们被视为起点，而不是自动符合提交条件的情报。 ### 2. 广泛搜索以获取初始立足点 第一轮的重点是寻找可独立访问的公开来源，以建立可靠的立足点： - 公开社交资料 - 历史用户名和别名 - 教育或就业记录 - 社区出版物 - 公开档案 - 可支持身份比对的图像 搜索引擎、平台原生搜索、反向图像搜索、公开档案和元数据检查都发挥着作用。工具本身并不重要，重要的是最终得到的来源是否直接、可复现且相关。 ### 3. 在枢纽转向之前进行验证 精确的姓名匹配和用户名冲突非常常见。在将某个资料或记录视为与案件相关之前，我会尽可能寻找至少两个有意义的溯源印证： - 匹配的面部或已知照片 - 一致的位置 - 交叉关联的用户名 - 已知的家人或朋友网络 - 匹配的学校、雇主或社区 - 一致的年龄或日期范围 - 来自另一个已验证来源的链接 没有充分证据支持的可能性线索依然只是线索。它不会仅仅因为时间紧迫就变成一次提交。 ### 4. 保存证据 对于每一条重要线索，我都记录了： - 直接来源 URL - 该来源支持的声明 - 它为何相关 - 验证溯源印证 - 置信度和不确定性 - 捕获时间 - 适当的截图或保存的来源 良好的证据保存降低了丢失来源的风险，并加快了撰写提交的速度。更重要的是，它使得推理过程能够被除我之外的其他人审查。 ### 5. 慎重提交或拒绝 我维护了一个提交登记表和一个被拒绝线索的记录。记录被拒绝的内容出乎意料地有价值，因为它防止了重复工作，并保留了某个看似有希望的结果为何不够可靠的原因。 常见的拒绝原因包括： - 同名或同用户名冲突 - 没有独立的身份溯源印证 - 没有可访问的底层证据的搜索结果片段 - 转发或被列入黑名单的来源 - 无法证明用户活动的平台生成的时间戳 - 已经是公开案件上下文的信息 - 超出来源实际证明范围的声明 知道何时不该提交也是调查的一部分。 ## 生效的策略 ### 结构化笔记胜过记忆 独自处理五个案件使得上下文切换成为主要的操作挑战。一致的笔记本结构让我可以暂时搁置一个案件，稍后再返回，并准确了解哪些内容已被检查、验证、拒绝或保持开放状态。 ### 直接来源产生了更好的提交 直接的公开资料、归档页面或社区文档通常比搜索结果片段或转发更有用。直接来源使声明更容易被复现，并减少了指导教练在审查提交时的歧义。 ### 身份溯源印证防止了误报 最重要的分析原则是拒绝将姓名匹配视为身份证明。结合多个独立的溯源印证需要更多时间，但它保护了工作的完整性。 ### 否定发现依然有价值 一些看似有希望的线索未能通过验证。记录它们失败的原因防止了重复劳动，并使得快速调整方向变得更容易，而不是反复重开同一个死胡同。 ## 下次我会做出的改变 ### 分离发现、验证和提交过程 我通常在再次搜索之前，就会对一条线索走完所有三个阶段。更高效的单人节奏应该是： 1. 进行有界限的发现冲刺。 2. 对产生的线索进行排序。 3. 验证最强有力的候选线索。 4. 集中批量处理提交。 这将减少在调查工作与行政工作之间频繁切换的成本。 ### 更早缩小案件焦点 试图在所有五个案件中保持覆盖广度，但限制了深度。下次，我依然会对每个案件进行初步扫描，然后更早地将精力集中在那些我已经获得经验证的立足点，并且有切实可行的路径获取有用情报的案件上。 ### 在活动前准备提交模板 预先构建的用于声明、直接来源、相关性、溯源印证、置信度和不确定性的模板，将在不降低质量的前提下减少撰写提交的时间。 ### 使用更强有力的停止条件 单人调查员无法承受无休止的死胡同。我会为薄弱的用户名匹配、无法访问的来源以及没有独立溯源印证的资料设定更明确的时间限制。 ## 主要经验教训 1. **分数是价值的不完美替代指标。** 一个分数较低但有充分证据支持的事实，可能比一个推测性的高分线索更有用。 2. **脱离背景的信息不是情报。** 每次提交都需要清楚地说明来源证明了什么以及它为何重要。 3. **不确定性应当被记录，而不是被隐藏。** 当限制条件被明确指出时，一份供教练审查的候选情报依然可能是有用的。 4. **控制误报是核心的 OSINT 技能。** 拒绝一个诱人但缺乏支持的线索是卓有成效的工作。 5. **记录文档是调查的一部分。** 如果其他人无法复现推理过程，那么该发现就比它最初看起来要薄弱。 6. **尊重必须在过程中得以体现。** 这些是真实存在的人和真实的家庭，而不是虚构的 CTF 目标。 ## 最终反思 单人对抗最多四人的队伍要求很高，但它暴露了严谨流程在哪些方面最为关键。我无法匹敌更大团队的并行搜索能力，因此我不得不依赖组织、验证和谨慎的提交决策。 这次活动加深了我对 OSINT 的理解，它是一门同样建立在克制与发现之上的实践学科。寻找信息仅仅是开始。更艰难的工作是确定它是否真正相关、是否相关、是否可以负责任地共享，以及来源是否支持所做出的声明。 我感谢 Trace Labs、志愿指导教练以及所有支持本次活动的人。最重要的是，我始终牵挂着那些失踪人员、他们的家人，以及这项工作存在的意义。 ## 资源 - [Trace Labs](https://www.tracelabs.org/) - [搜索派对交战规则](https://docs.tracelabs.org/searchparty/searchparty-rules) - [搜索派对参与者指南](https://docs.tracelabs.org/searchparty/searchparty-participant-guide) - [搜索派对类别与评分](https://docs.tracelabs.org/searchparty/searchparty-scoring-system) - [搜索派对 CTF 手记](https://docs.tracelabs.org/searchparty/writeups) ## 隐私声明 本仓库不包含任何特定案件的情报。请勿以此手记为由，去联系、调查或试图定位任何与失踪人员案件相关的人员。相关信息应通过适当的官方渠道提交。

标签：ESC4, OSINT, 实时处理, 情报搜集, 竞赛复盘, 网络安全, 防御加固, 隐私保护