一、开源情报准备

整个部分解释了我认为任何在线调查人员在进行在线搜索之前都应该完成的基本步骤。我们永远不应该在没有数字安全的情况下进行调查，使用干净的计算机和软件，这些软件没有被以前的开源情报调查活动破坏。我们应该满怀信心地开始每一项调查，因为我们知道我们是在一个没有任何污染的计算机环境中工作的。要创建我们完美的“游乐场”（用于调查的计算机环境）需要做很多工作，但为每次调查复制一个原始的环境将很容易。就像在调查之前必须配置并准备好 DNA 取证实验室一样，您的 OSINT 实验室也应该面临同样的审查。

这本书的前四个版本都是从搜索引擎技术开始的。我马上提供了从各种流行和不太知名的搜索网站收集在线信息的方法。这可能是由于我自己的不耐烦和想要“深入”并开始寻找信息的欲望。这一版本的开头将大不相同。在你尝试本书中的任何搜索方法之前，我认为你应该准备好你的计算环境。在教了多日的OSINT课程后，我有动力从这个话题开始。第二天，几位与会者带着笔记本电脑来尝试我在课程中教授的技术。休息时，我看到警察在巡逻车笔记本电脑上搜索脸书；私人调查员在浏览嫌疑人的博客时使用Windows XP；以及网络安全专业人员在不拥有任何防病毒软件、脚本拦截程序或虚拟专用网络（VPN）的情况下查看黑客网站。

我也对这一切感到内疚。在我研究OSINT的早期，我并没有太注意计算机安全或正确的浏览习惯。虽然我知道有恶意软件，但我知道如果真的发生了不好的事情，我可以重新安装Windows。这是一种反应性思维。我认为，在进行在线研究的同时，我们都必须主动攻击自己隐私和安全方面的漏洞。本节并非计算机安全的完整指南或完全隐私的手册。相反，我希望快速有效地提出最有益的策略，保护您免受大多数问题的影响。应用本节中提到的更改将为您的在线调查和整体计算机使用习惯提供宝贵的安全保障。

在接下来的章节中，我将解释如何确保您的计算机主机安全；为每项调查配置虚拟机；将 Linux 应用程序嵌入到 Windows 和 Mac 主机中；定制开源情报软件，随时可用；创建您自己的一组搜索工具来自动查询；为移动调查准备一个虚拟的安卓环境；并轻松克隆您的所有工作，以便在任何东西损坏、损坏或受到威胁时立即复制。您现在的努力将在未来得到十倍的回报。

这里有很多东西需要消化。请允许自己跳过任何技术部分，并在理解材料的总体意图后返回到它们。许多读者跳到第二部分（第九章 - 搜索引擎）并开始练习各种在线 OSINT 技术。有些人直接导航到第八章开始使用免费的自定义离线搜索工具。其他人在接触计算机之前通读了整本书。

以最适合您的方式处理内容。最重要的是，不要让技术方面阻碍您找到最有利于您自己的调查的领域。

1.1 计算机优化

您的计算机上有哪些数据？在可疑的地方随意浏览是否有病毒、恶意软件或间谍软件？您的互联网缓存是否包括来自 Amazon、Facebook、Google 和其他公司的跟踪 cookie？您的书签、文档或下载队列中是否存储了您上次调查的证据？如果对其中任何一个的回答是“可能”或“我不知道”，则您的计算机已被污染。

如果您的调查进入法庭证词，一旦专门从事计算机取证的专家证人出庭，您可能需要做很多解释。如果您的屏幕捕获显示与您的调查无关的证据，您可能会危及整个案件。你可能认为我过于谨慎了，但在我们在线证据的纯度方面，我们不能再冒险了。

首先，我们需要关注干净主机的想法。您的主机是您的传统物理计算机，它可能是您的机构拥有的或用个人资金购买的笔记本电脑或台式机。它是您用来访问互联网的设备，但不一定是用于您的调查的直接途径。在下一章中，我将通过在主机上使用虚拟机 (VM) 来介绍在线调查期间的保护选项。在我们考虑构建 VM 之前，我们必须知道我们有一个没有任何污染的主机。在一个完美的世界中，您刚刚购买了一台全新的计算机，并准备好用它来处理您的第一次调查，没有污染，因为你还没有打开它。在现实世界中，您受困于二手设备、改造用途的装备和过时的操作系统。无论您是新机器还是旧机器，本章都包含我们在上线前必须执行的步骤。

假设您拥有一台已使用一两年的笔记本电脑，您安装了一些传统软件，例如 Microsoft Office，并且可能添加了更好的浏览器，例如 Firefox。您已经查看了我们的电子邮件，登录了您的亚马逊账户，并像其他人使用自己的机器一样浏览了网络。

每次访问任何网站时，您都会收集详细的临时文件，这些文件仅针对您进行个性化设置。它们包含会话详细信息和帐户数据。我们都会在接触的每一台设备中不断留下数字痕迹。每次访问任何网站时，您都会收集详细的临时文件，这些文件仅针对您进行个性化设置。它们包含会话详细信息和帐户数据。我们都会在接触的每一台设备中不断留下数字痕迹。现在想象一下，你开始调查同一台机器上的目标。谷歌搜索会让你找到亚马逊的心愿单。加载到该页面会将您的亚马逊帐户连接到查询，并且您的姓名在屏幕截图中可见。即使您退出亚马逊等服务，持久的“cookie”也会挥之不去，并让公司知道您仍然在线。

如果我没有让你相信你的机器被污染了，那么考虑一下发生的以下情况在我写这篇文章之前很多年。在调查嫌疑人时，您在另一个浏览器选项卡中查看电子邮件，您还可以利用各种即时通讯应用程序与同事进行交流，您完成调查并提交证据以供发现。之所以安排压制听证会，是因为你案件中的对方希望证据被推翻。在争论期间，另一方要求将调查期间使用的计算机的精确克隆提供给他们自己的数字检查员。法官同意，并命令您允许对方对您的机器进行相同的克隆。您开始考虑将在此次试用期间出现的个人活动和在线购买。

我们可以避免这一切，我提出了一个不会让所有读者都满意的严格规则，您应该拥有一台专门用于在线调查的专用机器。它应该没有个人用途，也没有不必要的活动。它应该是一台仅用作您职业的一部分的机器。即使您只有一台用过的电脑，您也可以让机器重获新生并重新开始，这需要的不仅仅是删除文件和运行计算机清理应用程序，这些只会删除明显的数据，而永远不会真正消除机器中的所有污染。为了把事情做好，我们应该完全重新格式化并重新安装所有软件。这将清除您机器上的所有数据，因此请谨慎操作！以下页面解释了我对 Windows、macOS 和 Linux 主机的建议，以及每种主机的好处和风险。

1.1.1 Windows主机

大多数读者将拥有一台基于Windows的计算机。这是我对这类工作最不喜欢的选择，但我们都必须在操作系统中应对雇主或我们自己的限制。 从3月11日到7日，我一直是Windows的忠实用户，但当10号出现时，我就离开了。如果您的主机有Windows操作系统，则需要考虑以下几点。首先，你有哪个版本，你想要哪个版本？在我写这篇文章的时候，我相信Windows 10是最好的版本。它将在2025年10月得到更新支持。到那时，人们将被迫迁移到Windows 11或未来Windows 12的样子。虽然Windows 11将作为OSINT机器主机工作，但为了使一切正常工作，您可能会遇到额外的障碍。让我们从系统的可选完整擦除开始。

1.1.1.1 完成系统擦除

首先，备份任何重要数据。通过USB连接外部驱动器，复制重新格式化机器时将删除的所有文档、配置文件和介质。常见位置包括当前用户主文件夹中的“桌面”、“下载”和“文档”文件夹。仔细检查您是否拥有所需的一切，因为下一步是从驱动器中删除所有数据。大多数现代Windows计算机都有一个隐藏的“恢复”分区。要在出厂时重置Windows 10，请转到“开始”>“设置”>“更新和安全”>“恢复”，然后单击“重置此电脑”下的“开始”按钮。

选择“删除所有内容”，会产生以下两个选项：

• 仅仅删除我的数据
• 删除文件并清理驱动器

选择 "删除文件并清理驱动器 "选项并等待完成。结果将是一个没有任何先前污染的新操作系统。如果你没有这个选项，或者拥有一个旧的Windows操作系统，你将需要原始的安装介质或制造商提供的还原光盘。开机后，拒绝任何创建微软账户的要求，只提供登录Windows的必要信息，如一个模糊的用户名和密码。在进行这项活动之前，我宁愿消除与这台机器的任何互联网连接。这通常可以防止微软要求建立一个在线账户。 如果你有一台新的电脑或正在重新安装操作系统，你会被提示选择 "快速设置 "或 "自定义设置"。选择 "自定义 "选项，它将为你的新系统提供许多选择。禁用屏幕上显示的每个选项。这将禁用一些最具侵扰性的侵犯隐私行为，如在你打字时收集击键的能力，以及向微软发送使用数据。

Windows 11需要进行一些轻微的修改。要出厂重置Windows 11，请进入 "开始">"系统设置">"恢复">"重置电脑"。选择删除文件的选项，如果有的话，选择 "本地 "重置选项。继续通过所有确认屏幕，并允许任何重启请求。Windows 11在创建在线用户账户方面会更加强硬，但缺乏任何互联网连接应该允许你在有足够阻力的情况下绕过这一点。最终，我怀疑所有版本的Windows将强制执行在线账户。

1.1.1.2  反病毒和反恶意软件

有十几家流行的防病毒公司会提供免费的Windows防病毒解决方案。对于大多数Windows用户，我只是建议使用微软的产品。Windows 7的用户应该使用微软的Security Essentials，而Windows 10和11的用户应该使用其安装时包含的默认Windows Defender。隐私爱好者会不同意这个建议，我也理解他们的立场。微软的产品倾向于收集你的电脑使用历史并分析数据。不幸的是，他们的核心操作系统也会这样做，而且很难长期停用。因此，我认为，Windows用户已经在向微软披露敏感信息。使用他们的防病毒解决方案不可能加强被收集的数据。我相信Windows用户还应该增加对恶意软件的保护，也就是所谓的恶意软件。同样，有许多免费的选项可以选择。我向希望得到额外保护的Windows用户推荐Malwarebytes。我建议每周至少对你使用的每台Windows设备执行、更新和扫描一次。

• 导航至http:/ /www.malwarebytes.com/并选择 "免费下载 "选项，进行默认安装。
• 每周定时进行病毒库更新，并进行全面扫描，Malwarebytes将删除它发现的任何问题。

如果有提示，请拒绝任何高级功能或试用。免费版本是足够的，也是首选。适当的防病毒和反恶意软件保护将大大增强你的整体Windows计算机使用体验。它将帮助你的计算机顺利运行，并可能防止恶意文件感染你的操作系统。它将有助于保护任何在线调查的完整性。我把这些步骤称为 "主食"。它们是继续进行之前的最低要求，适用于任何计算机用户。理想情况下，你永远不会使用你的主机操作系统（非调查计算机）进行任何网络浏览或调查，所有这些将是多余的。然而，安全总比遗憾好。始终考虑你的调查的完整性。

1.1.1.3 遥测

微软的遥测服务不断收集以下数据，以及许多其他详细信息将其发送到西雅图的公司服务器。

• Typed text on keyboard-键盘上键入的文本。
• Microphone transmissions-麦克风传输。
• Index of all media files on your computer-计算机上所有媒体文件的索引。
• Webcam data-网络摄像头数据。
• Search history-搜索历史。
• Location activity-地理位置信息。
• Heath activity collected Health Vault,Microsoft Dand,and other trackers-由Health Vault、Microsoft Band和其他追踪器收集的健康活动。
• Privacy settings across Microsoft application ecosystem-整个微软应用生态系统的隐私设置。

这些数据将使人们非常容易识别你、你的位置和所有在线活动。微软声称这种数据收集只是为了提高你的体验。我发现这很有侵略性，我将提出禁用大部分数据收集的选项。我强烈建议用户尝试尽量减少微软收集的关于你的计算机使用的数据量。在安装过程中，我已经解释了几个选项，但还有很多内容需要封锁。有许多免费的实用工具可以帮助实现这一点，但我发现O\&O Shut Up 10是最有效和最新的。

下载最新版本在https://www.oo-software.com/en/shutup10然后安装并启动软件。您将看到许多可以启用或禁用的单独选项。红色图标表示该功能已禁用，而绿色图标表示已启用。措辞可能含糊不清。通常，任何红色表示有关该主题的数据正在发送给 Microsoft，而绿色表示服务被阻止。

例如，第一个选项声明“禁用手写数据共享”。默认选项是禁用的（红色），切换到绿色告诉我们这个威胁已被禁用，我们受到保护。有些人可能想玩每个单独的设置。大多数选择预先确定的隐私级别。在顶部的“快捷操作”选项中，您会看到“应用所有推荐设置”、“应用所有推荐和部分推荐设置”和“应用所有设置”三个类别。第一个选项非常安全，并应用正常的阻止，例如禁用广告 ID。第二个选项更严格一些，它会阻止除自动 Windows 更新、Windows Defender 和 OneDrive 之外的所有内容。最后一个选项阻止一切可能。

我的偏好是选择“应用所有推荐和部分推荐设置”选项，然后启用“Microsoft OneDrive Disabled”选项。这会使更新和 Defender 运行，这对您计算机的整体安全性至关重要。做出选择后，关闭程序并让 Windows 重新启动。再次打开应用程序以确保您想要的设置得到维护。每次更新Windows 操作系统时，请查看是否需要在此处重新启用您的选择。如果您因保护级别而遇到麻烦，您可以随时从应用程序中撤消这些更改。

1.1.1.4 系统清理

在以前的一些书籍中，我推荐了一个名为CCleaner的清洁应用程序。由于其所有者 Piriform 的一些不道德行为，我不再使用该产品。某些版本的 CCleaner 包含被指控收集用户指标的广告软件。我今天的首选是使用 BleachBit (bleachbit.org)。BleachBit 与 CCleaner 非常相似，但更具攻击性。我选择了除“擦除可用空间”之外的所有可用选项。选择此选项会覆盖硬盘驱动器上的所有可用空间，这非常耗时。BleachBit 删除剩余的互联网历史内容、临时文件和许多其他类型的不需要的数据。我每周在我使用的任何 Windows 或 Linux 主机上执行这个程序。

1.1.1.5 VPN

我相信每个 OSINT 研究人员都应该始终拥有和使用虚拟专用网络 (VPN)。 VPN 将专用网络扩展到公共网络，例如 Internet。它使用户能够跨共享或公共网络发送和接收数据，就好像他们的计算设备直接连接到专用网络一样，从而受益于专用网络的功能和安全性。 VPN 会在网上掩盖您的身份。两个具体的例子应该有助于证明对这一资源的需求。

如果您使用家用计算机并连接到 Internet，则您使用的是来自 Internet 服务提供商 (ISP) 的连接。如果您导航到一个监控访问者的网站，它会知道您的 IP 地址、大致位置以及互联网提供商和类型（电缆、DSL 等）。但是，如果您在同一台计算机上使用相同的互联网连接，则可以使用 VPN 来保护您。 VPN 软件通过 Internet 连接将您的计算机连接到他们的服务器之一。 ISP 无法解密此加密流量。当您的流量到达 VPN 服务器时，它会发送和接收您的数据，并将传入的数据包返回给您。您访问的网站认为您拥有 VPN 服务器的 IP 地址。他们不知道您拥有哪种类型的互联网连接，也不知道您的位置。

一些读者可能想知道为什么他们不能简单地使用免费的 Tor 服务来处理这种情况。虽然可以，但通常不建议这样做。Tor 连接对于持续使用来说可能太慢了。此外，某些网站不允许您通过 Tor 代理访问他们的服务。通过 Tor 连接到您的银行可能会触发警报，并可能阻止您访问。通过 Tor 访问社交网络也可能是一个问题。我相信当你真的需要隐藏你的整个连接时，Tor 是很棒的，我稍后会讨论更多。我相信日常浏览更适VPN。

如果您在一家大公司工作，您可能已经可以访问公司 VPN。四处询问并确定您的选择。这些对于安全性非常有用，但对于隐私而言却不是那么重要。我从不推荐用于在线调查的企业 VPN。相反，您需要购买 VPN 服务。虽然有一些提供免费 VPN 的提供商，但我从不推荐它们。它们非常慢，并且经常将您的互联网连接用于其他人的流量。相反，请考虑从信誉良好的提供商处购买访问权限，例如 Proton VPN 或 Private Internet Access (PIA)。

可以通过多种方式启动 VPN。有些通过防火墙或路由器运行，这可能无法满足您的需求。如果您在多个地点使用笔记本电脑进行调查，则尤其如此。有些使用各种 Web 浏览器扩展，允许 VPN 拦截数据。我不推荐这样做，因为它只会保护您的浏览器流量而不是您的整个主机。我对您的建议是使用专用 VPN 应用程序保护您的整个主机。这也将保护您的虚拟机，稍后将对此进行解释。

Proton VPN 和 PIA 都为所有高级用户帐户提供软件应用程序。我发现这足以满足我们的需求，而且 Windows 和 Mac 的安装都很容易。这些提供商中的每一个都允许您连接到您选择的全球数十台服务器。 当我想出现在西海岸时，我可以选择加利福尼亚；当我想出现在东部时，我可以选择纽约。当我需要以加拿大用户身份出现时，我可以选择伦敦以绕过在线观看 BBC 或多伦多的限制。您的年度访问权限可以同时在多个设备上使用。我对 VPN 的个人政策非常简单。我总是在连接到互联网的任何设备上使用 VPN。这包括台式机、笔记本电脑和手机。

最近，在在线调查方面，我使用 Proton VPN 比使用 PIA 更成功。 PIA 是世界上最大的 VPN 提供商之一，许多网站因滥用和欺诈而将其屏蔽。 Proton VPN 同样安全，但不那么受欢迎。当一个网站因为我拥有来自 PIA 的 IP 地址而阻止我时，我几乎总是可以通过切换到 Proton VPN 来连接到该站点。 Proton VPN 比 PIA 贵一点，但您可能不会那么头疼。

我该怎么办？在我家，我依靠 Proton VPN 来保护通过我的 pfSense 防火墙的所有流量（在我的《极端隐私》一书中有解释）。不在家时，我会在笔记本电脑上准备好 Proton VPN 应用程序。每当我需要绕过受 VPN 限制的网站时，我都会在笔记本电脑上启动 PIA 应用程序并连接到专用 IP 地址 VPN。 \X,'完成该需求后，我断开 PIA 并返回到我的 Proton VPN 保护。我通过这两家提供商维护活跃账户，每个账户都以别名使用比特币支付。总的来说，任何信誉良好的 VPN 都比没有保护要好。

1.1.1.6 密码管理

在你进行网上调查时，你可能会在各种服务中创建和维护许多账户和密码。记录这些服务的个人资料细节，包括密码，可能是一项艰巨的任务。密码管理器提供了一个安全的数据库，以存储有关这些账户的所有各种设置。我的选择是KeePassXC。

KeePassXC是一个开源的密码管理器，不会将内容同步到互联网。有许多方便的在线密码管理器，它们是安全的，并保持你所有的设备准备自动登录。这些对个人安全很有好处，数百万人在安全地使用它们。然而，这还不足以满足我们的需求。由于你将存储与在线调查有关的数据，你应该在一个离线解决方案中保护它。KeePassXC是跨平台和免费的。它在Mac、Windows或Linux上的工作原理相同。

从https\://keepassxc.org下载该软件，并进行以下练习。

• 启动KeePassXC并选择 "数据库">"新数据库"。
• 为你的新密码数据库提供一个名称，如Passwords。
• 将加密设置滑块完全向右移动并点击 "继续"。
• 指定一个你能记住但不在其他地方使用的安全密码。
• 点击 "完成 "并选择一个安全的位置来存储数据库。
• 关闭程序并验证你能用你的密码打开数据库。

现在你有一个安全的密码管理器和数据库，可以在主机上使用。无论何时你开始使用虚拟机，正如下一章所解释的那样，你所有的密码都将在主机内可用，而虚拟机将不存储任何凭证。接下来，假设你准备改变你的秘密Facebook个人资料的密码。导航到允许更改密码的菜单。接下来，在KeePassXC中进行以下操作。

• 在右栏内点击右键，选择 "新组"。
• 将该组命名为Facebook，并点击 "确定"。
• 在左边的菜单上选择Facebook小组。
• 在右侧面板中，右击并选择 "新条目"。
• 提供你的隐蔽账户的名称、用户名和网站的URL。
• 点击 "重复 "栏右边的黑色骰子图标。
• 点击黑色骰子标志下面的眼球标志。
• 将密码长度滑块滑动到至少40个字符。
• 复制生成的密码并粘贴到 "密码 "和 "重复 "字段。
• 将你的Facebook密码改为你账户内的这个选择。
• 点击 "确定 "并保存数据库。

你成功地为你的秘密资料创建了一个新的、安全的、随机生成的密码。你不会记住它，但你的密码管理器会。从这一刻起，你将改变你登录时访问的任何网站的每个密码。下次你登录到你的安全网站时，请更改任何密码。

让你的密码管理器生成一个包含字母、数字和特殊字符的新随机密码。如果你使用的网站允许，选择一个至少50个字符的密码长度。当你需要登录时，你将从密码管理器中复制和粘贴。对于每一个你改变密码的网站，你的密码管理器将生成一个新的、独特的字符串。这样一来，如果你使用的网站被攻破，所收集的密码在其他地方将无法使用。更重要的是，在被破解的数据公开后，回收的密码将不会暴露你的真实账户。你应该只记住少数几个密码，这就引出了下一个问题。

打开密码管理器的密码应该是独一无二的。它应该是你以前从未使用过的东西。它还应该包含字母、数字和特殊字符。至关重要的是，你永远不要忘记这个密码，因为它可以让你访问所有你不知道的凭证。我鼓励用户把它写在一个安全的地方，直到记住为止。为你的密码数据库做一个备份是至关重要的。当你创建一个新的数据库时，你为该文件选择了一个名称和位置。当你更新和保存这个数据库时，在一个加密的USB驱动器上制作一个文件的副本。要确保总是有一个副本在安全的地方，而不是在互联网上。如果你的电脑完全崩溃，你失去了所有的数据，你也会失去所有你创建的新密码。这将是一个巨大的头痛问题。现在就为数据丢失做好准备。

我不再推荐KeePassXC浏览器扩展用于OSINT调查。它没有什么不安全的地方，但它要求你在任何虚拟机内不必要地复制主数据库，并在技术上提供一些从一个调查到另一个虚拟机的连接。这不是什么大问题，但我们应该始终愿意仔细检查我们的策略，成为更安全的调查员。

像Bitwarden这样的在线密码管理器的吸引力在于能够通过互联网将密码数据库同步到所有设备上。我理解这些功能的好处，但它也伴随着风险。所有知名的在线密码管理器在与自己的服务器同步之前，都会在用户的设备上对密码进行本地加密。理论上，密码管理器公司的人不会有能力看到你的个人密码。然而，没有什么是可以防黑的。出问题只是时间问题。对于个人机器，我相信Bitwarden是一个伟大的密码解决方案。对于在线调查，我相信我们应该把数据放在远离互联网的地方。

通过将密码保存在一个离线数据库中，你可以消除整个攻击面。通过在主机中保存密码管理器，无论你在调查期间使用哪台虚拟机，你都可以立即访问它。

希望你现在有一台新的Windows机器，它有许多保护措施，可以抵御你在进行在线调查时将面临的威胁。你的系统已经为虚拟机的建立和执行做好了准备，如果在法庭上或被客户质疑，你将准备好捍卫你的策略的安全性。