第一章 开源情报准备

该章节主要围绕开源情报调查人员在进行开源情报调查之前的准备工作展开讲解，作为开源情报调查人员，在进行开源情报调查之前我们应该保证我们调查函使用的操作系统的干净了，并且使用的工具软件是安全的且干净的，我们需要始终保持拥有一个干净的调查虚拟机，在安装完成之后拍摄快照，每一次调查活动结束之后将该调查活动虚拟机进行克隆或者拍快照或者导出，然后再进行新的调查活动的时候，恢复调查虚拟机到最开始的状态。

1.1.系统擦除工作  

1.1.1.Windows系统擦除  

大多数调查人员因为工作环境所致，必须使用Windows操作系统进行工作，所以我们应该了解使用Windows主机进行开源情报调查工作应该做哪些准备。

首先如果你拥有的是一台全新的Windows主机，只需要按照后续讲解的安装相应的安全软件、关闭相应的遥测服务即可。但是如果你是在半途进入开源情报的行业，你的Windows主机已经使用了一些时间，这里推荐你安装一台Linux虚拟机专职用来进行开源情报调查。如果你执意需要在Windows物理机上面进行开源情报调查的话，你应该对当前操作系统做好重要文件备份，然后尽心完整的系统擦除，擦除方法如下：

转到“开始”>“设置”>“更新和安全”>“恢复”，然后单击“重置此电脑”下的“开始”按钮。选择“删除所有内容”，会产生以下两个选项：

l仅仅删除我的数据

n删除文件并清理驱动器

选择 "删除文件并清理驱动器 "选项并等待完成。完成后你将获得一个没有任何先前污染的新操作系统。如果你没有这个选项，或者拥有一个旧的Windows操作系统，你将需要原始的安装介质或制造商提供的还原光盘。

还原后的操作系统/新安装的操作系统开机后，拒绝任何创建微软账户的要求，只提供登录Windows的必要信息，如一个模糊的用户名和密码。在进行这项活动之前，消除与这台机器的任何互联网连接。这通常可以防止微软要求建立一个在线账户。

在新系统的配置过程中你会被提示选择 "快速设置 "或 "自定义设置"。选择 "自定义 "选项，它将为你的新系统提供许多选择。禁用屏幕上显示的每个选项。这将禁用一些最具侵扰性的侵犯隐私行为，如在你打字时收集击键的能力，以及向微软发送使用数据。

1.1.2.Linux系统擦除  

大多数Linux系统都有一个嵌入式复位功能，但我从来不用它们。每当我想重新安装一个Linux操作系统时，我都会从一个包含Ventoy的可启动USB驱动器上进行。Ventoy允许你将各种Linux ISO文件放在USB驱动器的根部并启动它。启动后，你可以选择你想执行或安装的操作系统。

1.2.病毒防护软件  

1.2.1.Windows病毒防护软件  

适当的防病毒和反恶意软件保护将大大增强你的整体Windows计算机使用体验。它将帮助你的计算机顺利运行，并可能防止恶意文件感染你的操作系统。它将有助于保护任何在线调查的完整性。

Windows病毒防护软件很多，对于大多数Windows用户来说，微软提供的Denfender已经够用了。如果说你还想获得其他额外的保护的话，这里推荐Malwarebytes，安装步骤如下：

l导航至http://www.malwarebytes.com/并选择 "免费下载 "选项，进行默认安装。

l每周定时进行病毒库更新，并进行全面扫描，Malwarebytes将删除它发现的任何问题。

l如果有提示，请拒绝任何高级功能或试用。免费版本是足够的，也是首选。

1.2.2.Linux病毒防护软件  

建议在你的Linux主机上拥有ClamAV。这更多的是关于安全机器的 "检查箱"，而不是关于对Linux目标病毒的保护。你更有可能发现针对Windows机器的病毒。这些可能是电子邮件中的附件，对你的Linux安装没有威胁，但仍然应该被删除。在终端中的以下命令可以安装ClamAV。

lsudo apt update

lsudo apt install -y clamav clamav-daemon

这些命令下载了所有的病毒定义更新，应该在每次扫描前执行。现在我们有两个选项可以对整个驱动器进行扫描。第一种是扫描你的数据并通知你潜在的病毒。但是，它并不删除任何文件。我总是先执行这个选项。第二个命令重复扫描，同时删除任何受感染的文件。ClamAV偶尔可能会出现病毒的假阳性报告。请不要惊慌。在互联网上研究该文件，并找出问题所在。如果你收到电子邮件中关于恶意文件的报告，只需删除这些信息即可。

1.3.禁止收集敏感数据  

1.3.1.禁止微软收集敏感数据  

微软的遥测服务不断收集以下数据，以及许多其他详细信息将其发送到西雅图的公司服务器。这些数据将使人们非常容易识别你、你的位置和所有在线活动。微软声称这种数据收集只是为了提高你的体验。

lTyped text on keyboard-键盘上键入的文本。

lMicrophone transmissions-麦克风传输。

lIndex of all media files on your computer-计算机上所有媒体文件的索引。

lWebcam data-网络摄像头数据。

lSearch history-搜索历史。

lLocation activity-地理位置信息。

lHeath activity collected Health Vault,Microsoft Dand,and other trackers-由Health Vault、Microsoft Band和其他追踪器收集的健康活动。

lPrivacy settings across Microsoft application ecosystem-整个微软应用生态系统的隐私设置。

推荐使用O&O Shut Up 10软件禁止微软的遥测数据，该软件的下载地址如下：https://www.oo-software.com/en/shutup10。通常，任何红色表示有关该主题的数据正在发送给 Microsoft，而绿色表示服务被阻止。

1.3.2.禁止Linux收集敏感数据  

Linux机器，特别是Ubuntu 22.04收集的遥测数据非常少，并且允许我们轻松地阻止数据从我们的机器中发送。在安装过程中，Ubuntu提供了禁用普通遥测的选项，但让我们假设我们没有修改适当的设置。下面的命令可以禁用遥测功能，如果已经禁用了遥测功能，执行这些命令也无妨。

lsudo apt purge -y apport apport-symptoms popularity-contest ubuntu-report whoopsie

lsudo apt autoremove -y

1.4.系统清理  

1.4.1.Windows系统清理  

推荐使用 BleachBit (bleachbit.org)进行Windows系统清理。BleachBit 可以删除剩余的互联网历史内容、临时文件和许多其他类型的不需要的数据。推荐开源情报调查人员每周在自己使用的任何 Windows 或 Linux 主机上执行这个程序。

1.4.2.Linux系统清理  

推荐BleachBit作为我每周的Linux系统清理工具。在终端键入以下内容来安装该应用程序：sudo apt install bleachbit

点击左下方的九个点将呈现两个BleachBit应用程序。第二个图标以管理权限执行该软件，这是我选择的选项。第一次启动时，点击 "关闭(Close) "以接受默认配置。选择每一个选项，除了 "自由磁盘空间(Free disk space)"功能。点击 "预览(Preview)"，看到建议的清理报告。点击 "清理(Clean)"来执行这个过程。我每周至少运行一次这个程序来删除不需要的文件。

1.5.VPN选择  

VPN是每个开源情报调查人员必备的工具，VPN 将专用网络扩展到公共网络，例如 Internet。它使用户能够跨共享或公共网络发送和接收数据，就好像他们的计算设备直接连接到专用网络一样，从而受益于专用网络的功能和安全性。VPN 会在网上掩盖开源情报调查人员的身份，防止你的调查被被调查者溯源。

推荐的VPN厂家为：Proton VPN 和 PIA，因为政策原因这里不提供相关访问链接。

1.6.密码管理  

在你进行开源情报调查时，你可能会在各种服务中创建和维护许多账户和密码。记录这些服务的个人资料细节，包括密码，可能是一项艰巨的任务。密码管理器提供了一个安全的数据库，以存储有关这些账户的所有各种设置。我的选择是KeePassXC。

KeePassXC是一个开源的密码管理器，不会将内容同步到互联网。有许多方便的在线密码管理器，它们是安全的，并保持你所有的设备准备自动登录。这些对个人安全很有好处，数百万人在安全地使用它们。然而，这还不足以满足我们的需求。由于你将存储与在线调查有关的数据，你应该在一个离线解决方案中保护它。KeePassXC是跨平台和免费的。它在Mac、Windows或Linux上的工作原理相同。KeePassXC的下载链接为：https://keepassxc.org，使用方式如下：

l启动KeePassXC并选择 "数据库">"新数据库"。

l为你的新密码数据库提供一个名称，如Passwords。

l将加密设置滑块完全向右移动并点击 "继续"。

l指定一个你能记住但不在其他地方使用的安全密码。

l点击 "完成 "并选择一个安全的位置来存储数据库。

l关闭程序并验证你能用你的密码打开数据库。

现在你有一个安全的密码管理器和数据库，可以在主机上使用。无论何时你开始使用虚拟机，正如下一章所解释的那样，你所有的密码都将在主机内可用，而虚拟机将不存储任何凭证。接下来，假设你准备改变你的秘密Facebook个人资料的密码。导航到允许更改密码的菜单。接下来，在KeePassXC中进行以下操作。

l在右栏内点击右键，选择 "新组"。

l将该组命名为Facebook，并点击 "确定"。

l在左边的菜单上选择Facebook小组。

l在右侧面板中，右击并选择 "新条目"。

l提供你的隐蔽账户的名称、用户名和网站的URL。

l点击 "重复 "栏右边的黑色骰子图标。

l点击黑色骰子标志下面的眼球标志。

l将密码长度滑块滑动到至少40个字符。

l复制生成的密码并粘贴到 "密码 "和 "重复 "字段。

l将你的Facebook密码改为你账户内的这个选择。

l点击 "确定 "并保存数据库。

你成功地为你的秘密资料创建了一个新的、安全的、随机生成的密码。你不会记住它，但你的密码管理器会。从这一刻起，你将改变你登录时访问的任何网站的每个密码。下次你登录到你的安全网站时，请更改任何密码。

让你的密码管理器生成一个包含字母、数字和特殊字符的新随机密码。如果你使用的网站允许，选择一个至少50个字符的密码长度。当你需要登录时，你将从密码管理器中复制和粘贴。对于每一个你改变密码的网站，你的密码管理器将生成一个新的、独特的字符串。这样一来，如果你使用的网站被攻破，所收集的密码在其他地方将无法使用。更重要的是，在被破解的数据公开后，回收的密码将不会暴露你的真实账户。你应该只记住少数几个密码，这就引出了下一个问题。

打开密码管理器的密码应该是独一无二的。它应该是你以前从未使用过的东西。它还应该包含字母、数字和特殊字符。至关重要的是，你永远不要忘记这个密码，因为它可以让你访问所有你不知道的凭证。我鼓励用户把它写在一个安全的地方，直到记住为止。为你的密码数据库做一个备份是至关重要的。当你创建一个新的数据库时，你为该文件选择了一个名称和位置。当你更新和保存这个数据库时，在一个加密的USB驱动器上制作一个文件的副本。要确保总是有一个副本在安全的地方，而不是在互联网上。如果你的电脑完全崩溃，你失去了所有的数据，你也会失去所有你创建的新密码。这将是一个巨大的头痛问题。现在就为数据丢失做好准备。

我不再推荐KeePassXC浏览器扩展用于OSINT调查。它没有什么不安全的地方，但它要求你在任何虚拟机内不必要地复制主数据库，并在技术上提供一些从一个调查到另一个虚拟机的连接。这不是什么大问题，但我们应该始终愿意仔细检查我们的策略，成为更安全的调查员。

像Bitwarden这样的在线密码管理器的吸引力在于能够通过互联网将密码数据库同步到所有设备上。我理解这些功能的好处，但它也伴随着风险。所有知名的在线密码管理器在与自己的服务器同步之前，都会在用户的设备上对密码进行本地加密。理论上，密码管理器公司的人不会有能力看到你的个人密码。然而，没有什么是可以防黑的。出问题只是时间问题。对于个人机器，我相信Bitwarden是一个伟大的密码解决方案。对于在线调查，我相信我们应该把数据放在远离互联网的地方。

通过将密码保存在一个离线数据库中，你可以消除整个攻击面。通过在主机中保存密码管理器，无论你在调查期间使用哪台虚拟机，你都可以立即访问它。