2025年大學技術偵查學專業(yè)題庫——網(wǎng)絡犯罪信息搜集技巧考試時間：______分鐘總分：______分姓名：______一、單項選擇題（每題2分，共20分。請將正確選項的代表字母填在括號內(nèi)）1.以下哪項不是網(wǎng)絡犯罪信息搜集中OSINT（開源情報）的主要來源？（A）社交媒體(B)公開的法律文件(C)攻擊者內(nèi)部泄露的加密通信(D)新聞報道和論壇討論2.在使用網(wǎng)絡搜索引擎進行信息搜集時，利用特定符號組合進行精確查找的技術，通常稱為？（B）深度挖掘(B)高級搜索(C)暴力破解(D)社交工程3.以下哪種協(xié)議通常用于實時在線聊天記錄的獲?。浚–）HTTP(C)IRC(C)FTP(D)SMTP4.用于追蹤域名所有者、注冊信息及DNS服務器等信息的工具，主要是？（A）網(wǎng)絡爬蟲(A)Whois查詢器(A)端口掃描器(D)漏洞掃描器5.當需要分析網(wǎng)絡流量以發(fā)現(xiàn)隱藏信息或攻擊痕跡時，最常用的專業(yè)工具是？（D）搜索引擎(D)Wireshark(D)社工庫(D)數(shù)據(jù)庫管理工具6.在信息搜集過程中，針對特定目標系統(tǒng)進行端口掃描，以發(fā)現(xiàn)開放服務端口和潛在漏洞的技術，屬于？（B）被動信息搜集(B)主動信息搜集(B)信號情報搜集(D)人文情報搜集7.“數(shù)字足跡”是指？（A）個人在網(wǎng)絡上留下的所有可被追蹤的信息痕跡(A)網(wǎng)絡設備留下的物理痕跡(A)攻擊者使用的臨時IP地址(D)系統(tǒng)日志文件8.以下哪項活動在信息搜集時通常不被允許，且可能觸犯法律？（C）訪問公開的政府網(wǎng)站獲取信息(C)竊取他人電子郵件賬戶的郵件(C)利用公開的API接口獲取數(shù)據(jù)(D)分析公開的論壇討論區(qū)獲取線索9.在進行網(wǎng)絡犯罪信息搜集時，優(yōu)先獲取目標主機的IP地址、操作系統(tǒng)類型、運行服務等基礎信息，這通常對應哪個階段？（A）初步偵察階段(A)深入偵察階段(A)證據(jù)固定階段(D)法律取證階段10.對于技術偵查學專業(yè)學生而言，掌握信息搜集技巧的核心價值在于？（B）能夠快速記住所有網(wǎng)絡命令(B)提升發(fā)現(xiàn)、追蹤和固定網(wǎng)絡犯罪證據(jù)的能力(B)優(yōu)化個人社交媒體的隱私設置(D)獲取非法入侵系統(tǒng)的權限二、名詞解釋（每題3分，共15分。請用簡潔的語言解釋下列名詞的含義）1.信息溯源(InformationTraceback)2.社工庫(SocialEngineeringDatabase)3.暗網(wǎng)(DarkWeb)4.元數(shù)據(jù)(Metadata)5.APT攻擊(AdvancedPersistentThreat)三、簡答題（每題5分，共20分。請簡要回答下列問題）1.簡述網(wǎng)絡犯罪信息搜集的主要目標。2.列舉至少三種常用的網(wǎng)絡信息搜集工具，并簡述其基本功能。3.進行公開信息搜集時，應重點關注哪些類型的網(wǎng)站或信息資源？4.簡述使用Whois查詢進行信息搜集的基本步驟和可以獲取的信息類型。四、論述題（每題10分，共30分。請結(jié)合所學知識，全面、深入地回答下列問題）1.論述OSINT（開源情報）在網(wǎng)絡犯罪偵查中的重要作用及其主要應用方法。2.假設你需要追蹤一個利用虛假網(wǎng)站進行網(wǎng)絡釣魚的犯罪團伙，你會采取哪些信息搜集技巧和步驟？請詳細說明。3.在網(wǎng)絡犯罪信息搜集過程中，技術偵查人員如何平衡搜集信息的需要與保護公民隱私權、遵守相關法律法規(guī)之間的關系？請闡述你的觀點。試卷答案一、單項選擇題1.(C)2.(B)3.(B)4.(B)5.(D)6.(B)7.(A)8.(B)9.(A)10.(B)二、名詞解釋1.信息溯源：指通過分析數(shù)字證據(jù)（如IP地址、域名、URL、郵件頭等），反向追蹤信息或事件來源的過程，目的是確定犯罪嫌疑人的身份、活動范圍或攻擊路徑。2.社工庫：指收集整理了大量的公開或半公開信息，如真實姓名、聯(lián)系方式、地址、社交媒體賬號、公司信息等，供安全研究人員或偵查人員進行信息搜集、漏洞驗證或背景調(diào)查的工具庫。3.暗網(wǎng)：指隱藏在互聯(lián)網(wǎng)表面層之下，需要特定軟件、配置或授權才能訪問的網(wǎng)絡區(qū)域。由于其匿名性和隱秘性，常被用于非法活動，是網(wǎng)絡犯罪信息搜集的重要但危險的目標。4.元數(shù)據(jù)：指伴隨數(shù)據(jù)一起存在的描述性信息，它提供了關于數(shù)據(jù)本身的數(shù)據(jù)。在網(wǎng)絡犯罪偵查中，電子郵件、圖片、文檔、網(wǎng)絡流量等數(shù)據(jù)中都包含元數(shù)據(jù)（如時間戳、作者、修改記錄、設備信息等），可能包含關鍵證據(jù)。5.APT攻擊：指高級持續(xù)性威脅攻擊，通常由高度組織化的攻擊團體發(fā)起，旨在長時間、隱蔽地滲透目標網(wǎng)絡系統(tǒng)，竊取敏感信息或進行破壞活動，具有目標明確、技術先進、持續(xù)性強等特點。三、簡答題1.網(wǎng)絡犯罪信息搜集的主要目標：*確定網(wǎng)絡犯罪活動的范圍和影響。*識別和追蹤犯罪嫌疑人（個人或組織）。*獲取犯罪證據(jù)（如攻擊路徑、使用的工具、溝通記錄等）。*了解犯罪手法、工具和基礎設施。*為后續(xù)的法律調(diào)查、證據(jù)固定和訴訟提供支持。*為預防類似犯罪活動提供情報參考。2.常用的網(wǎng)絡信息搜集工具及功能：*Nmap(NetworkMapper)：主要用于網(wǎng)絡發(fā)現(xiàn)和安全審計，通過端口掃描、服務識別、操作系統(tǒng)探測等功能，了解目標主機的網(wǎng)絡配置和開放服務。*Whois：用于查詢域名注冊信息，如注冊人、聯(lián)系人、注冊商、注冊日期、到期日期等，是進行域名溯源和身份關聯(lián)的重要工具。*Maltego：一款強大的數(shù)據(jù)關聯(lián)分析工具，通過可視化圖譜展示不同數(shù)據(jù)元素（如IP、域名、郵箱、文件哈希等）之間的關系，幫助發(fā)現(xiàn)隱藏的網(wǎng)絡結(jié)構(gòu)和關聯(lián)。*Shodan：一個“互聯(lián)網(wǎng)設備搜索引擎”，可以搜索到連接到互聯(lián)網(wǎng)的設備（如服務器、路由器、攝像頭等），了解其開放端口、運行服務和技術細節(jié)。*GoogleHackingDatabase(GHDB)/GoogleDorking：利用搜索引擎的高級搜索語法（dorks），從搜索引擎索引的海量網(wǎng)頁中挖掘特定類型的信息，如敏感文件、配置錯誤、隱藏頁面等。3.公開信息搜集的重點資源：*搜索引擎：如Google、Bing等，是獲取各種公開信息最基礎的工具。*社交媒體平臺：如微博、微信、Facebook、Twitter、LinkedIn等，用戶會主動或無意中發(fā)布大量個人信息和活動軌跡。*專業(yè)論壇和社區(qū)：如安全社區(qū)、技術博客、行業(yè)論壇等，可能包含技術討論、攻擊手法分享或相關線索。*官方網(wǎng)站和公開報告：政府機構(gòu)、公司、組織發(fā)布的公開信息、新聞稿、年報、安全報告等。*WHOIS數(shù)據(jù)庫：域名注冊信息。*公開的DNS服務器：DNS查詢結(jié)果。*數(shù)據(jù)泄露平臺：合法收集或公開的數(shù)據(jù)泄露信息（需謹慎使用）。4.使用Whois查詢進行信息搜集的步驟和信息類型：*步驟：1.確定目標域名。2.使用Whois查詢工具（命令行工具如`whois`或在線Whois查詢網(wǎng)站）。3.解析返回的Whois數(shù)據(jù)。*可獲取的信息類型：*域名注冊信息：注冊人姓名/組織、聯(lián)系郵箱、聯(lián)系電話、注冊地址。*注冊商信息：負責該域名注冊的注冊服務機構(gòu)。*域名注冊日期和到期日期。*DNS服務器信息：負責解析該域名的權威DNS服務器列表。*域名名服務器（Nameservers）。*（對于某些數(shù)據(jù)庫，可能還包含NS記錄、MX記錄等）。四、論述題1.OSINT在網(wǎng)絡犯罪偵查中的重要作用及其主要應用方法：*重要作用：*低成本、高效率：OSINT利用公開可獲取的信息，成本相對較低，可以快速廣泛地搜集信息。*初步偵察與背景調(diào)查：為案件調(diào)查提供初步的方向和背景知識，了解犯罪團伙、目標、手法等。*發(fā)現(xiàn)隱藏線索與關聯(lián)關系：通過對海量公開信息的關聯(lián)分析，可能發(fā)現(xiàn)隱藏的攻擊路徑、資金流向、人員關系等。*持續(xù)監(jiān)控與預警：對關鍵目標（如惡意域名、IP、社交媒體賬號）進行持續(xù)監(jiān)控，及時發(fā)現(xiàn)新的犯罪活動跡象。*支持證據(jù)固定與法庭呈現(xiàn)：搜集到的公開信息可作為證據(jù)鏈的一部分，佐證其他證據(jù)或還原事件過程。*主要應用方法：*搜索引擎高級搜索：利用特定語法（dorks）挖掘搜索引擎索引中與目標相關的隱藏信息。*社交媒體分析：收集和分析目標人員在社交媒體上的公開帖子、互動、好友關系等，進行身份識別、行為分析、關系圖譜構(gòu)建。*公開記錄查詢：查詢法院判決記錄、逮捕令、公司注冊信息、專利商標等，用于身份確認和背景調(diào)查。*域名和DNS信息分析：查詢Whois信息、DNS記錄、子域名、NS記錄等，進行域名溯源、服務器定位和網(wǎng)絡架構(gòu)分析。*論壇和博客監(jiān)控：關注安全論壇、黑客論壇、行業(yè)博客等，獲取最新的攻擊手法、工具信息或犯罪團伙動態(tài)。*數(shù)據(jù)泄露信息利用：分析合法公開的數(shù)據(jù)泄露數(shù)據(jù)集，尋找與案件相關的賬戶、信息或關聯(lián)線索（需注意合法性和倫理）。*在線協(xié)作平臺分析：查看公開的代碼托管平臺（如GitHub）的惡意代碼、論壇帖子等。*元數(shù)據(jù)分析：分析圖片、文檔、郵件等文件中隱藏的元數(shù)據(jù)，可能發(fā)現(xiàn)作者、修改時間、設備信息等。2.追蹤虛假網(wǎng)站網(wǎng)絡釣魚犯罪團伙的信息搜集步驟：*確定并分析虛假網(wǎng)站：*獲取釣魚網(wǎng)站的域名（URL）。*分析域名：使用Whois查詢域名注冊信息；檢查域名是否為近期注冊；分析域名與真實品牌的關聯(lián)性；使用工具（如Maltego）查詢域名的父域名、子域名、DNS記錄，尋找更多基礎設施信息。*分析網(wǎng)站內(nèi)容：檢查網(wǎng)站模板、語言風格、錯誤信息，判斷其模仿的真實網(wǎng)站；尋找網(wǎng)站的元數(shù)據(jù)、源代碼中的線索。*利用安全工具：使用PhishTank、VirusTotal等平臺檢查域名的信譽和是否在黑名單中；使用在線釣魚檢測工具分析網(wǎng)站真實性。*溯源網(wǎng)站服務器：*使用Nmap等工具掃描網(wǎng)站服務器的開放端口和服務。*查詢服務器的IP地址：使用Whois查詢IP歸屬；使用在線IP溯源工具（如IPinfo,GeoIP）查詢地理位置、ASN（自治系統(tǒng)號）、ISP（互聯(lián)網(wǎng)服務提供商）等信息。*分析服務器基礎設施：檢查服務器的Web服務器軟件、數(shù)據(jù)庫類型等，可能提供攻擊者的技術偏好或漏洞利用信息。*追蹤支付和通信渠道：*分析釣魚網(wǎng)站使用的支付接口（如虛假的支付頁面、偽造的支付請求），嘗試追蹤資金流向（需法律授權）。*檢查網(wǎng)站上的聯(lián)系方式（如郵箱、電話），嘗試追蹤注冊這些郵箱或使用這些電話號的個人信息。*分析注冊郵箱的元數(shù)據(jù)，可能揭示用戶的位置或習慣。*關聯(lián)社交工程線索：*搜索與釣魚網(wǎng)站域名、IP地址、注冊郵箱、疑似操作員使用的昵稱或賬號相關的社交媒體信息。*分析社交媒體上的帖子、互動，尋找更多關于團伙成員、其他目標、作案手法的線索。*整合信息與構(gòu)建畫像：將所有搜集到的信息（域名、IP、服務器、支付、社交工程等）進行關聯(lián)分析，嘗試構(gòu)建犯罪團伙的畫像，包括其組織結(jié)構(gòu)、技術水平、目標偏好、活動區(qū)域等。3.技術偵查人員在信息搜集時平衡需求與隱私權、法律的關系：*嚴格遵守法律法規(guī)：這是首要原則。技術偵查人員必須清楚了解并嚴格遵守國家關于網(wǎng)絡安全、個人信息保護、偵查程序等方面的法律法規(guī)（如《網(wǎng)絡安全法》、《刑法》、《刑事訴訟法》及相關司法解釋）。任何信息搜集活動都必須有法律依據(jù)（如搜查令、批準決定），并符合法定程序。嚴禁非法侵入、非法獲取、非法控制計算機信息系統(tǒng)，嚴禁竊取公民個人信息。*遵循最小化原則：信息搜集的范圍和深度應嚴格限制在完成法定偵查任務所必需的范圍內(nèi)。只搜集與案件直接相關的、能夠有效服務于偵查目標的信息，避免過度搜集無關的個人隱私信息。*強調(diào)目的正當性：每項信息搜集行為都必須有明確、合法的偵查目的。??集信息是為了發(fā)現(xiàn)犯罪線索、固定犯罪證據(jù)、識別犯罪嫌疑人，而不是為了其他目的，如個人好奇、報復或侵犯他人隱私。*保障被搜集者的知情權和救濟權（在法律框架內(nèi)）：雖然偵查活動有時需要保密，但在法律允許的范圍內(nèi)，應盡可能避免對無辜者的干擾。對于因偵查活動受到不當影響的公民，法律應提供相應的救濟途徑。*運用技術手段進行甄別：利用技術工具，在搜集信息時盡量區(qū)分公開信息和受保護的個人隱私信息，對敏感隱私信息（如詳細的行蹤軌