16款适用于网络调查的最佳免费OSINT工具

网上有许多免费或几乎免费的OSINT（开源情报）工具 —— ChatGPT/Deepseek 可以列出一长串。但正如常见的情况一样，有些工具实际上并不存在，有些早已无法使用，还有一些数据质量很低。

本文收集了一些确实在不同网络研究场景中表现良好的OSINT工具，并根据主要用途进行分类。这些工具适用于网络犯罪调查、威胁狩猎、攻防演练等多种任务。

OSINT 工具箱

1. Maltego

Maltego 是一个多用途的OSINT枢纽引擎和可视化调查平台。它以“实体”（如个人、组织、域名或IP地址）为中心，利用“变换”功能（transforms）从开放数据源和API中获取相关信息，并以互动图形的形式展示。

Maltego的主要功能包括：

• “Transforms”（转换）——自动查询，从开放数据源和 API 获取数据。
• 各种实体或数据点，可以相互关联和分析。
• 交互式图形中的可视化关联分析，免费账户的每次“转换”最多显示24个结果。
• 预配置的转换集合，称为“machines”（机器），用于自动化常见的调查流程。
• 预建的连接器，支持与100多个数据源集成，免费账户访问受限。

Maltego 并非完全免费，但提供一个称为 Basic 的免费等级，包含核心功能和每月几百个积分，方便用户偶尔进行小规模的开源情报（OSINT）调查。

2. SpiderFoot

SpiderFoot 是一款用于威胁情报和攻击面映射的开源情报（OSINT）自动化工具。它可以从200多个数据源（包括部分开放和付费的数据源）收集并关联关于目标的信息，如域名、子域名、IP地址、个人或公司名称、电子邮件地址、子网、比特币地址以及用户名等。

Among SpiderFoot的主要功能:

• 超过200个模块或集成，这些模块有些不需要API密钥，有些提供免费使用额度。
• 同时支持基于网页的图形用户界面（GUI）和命令行界面（CLI）。
• 有模块可以搜索Tor网络（暗网），查找目标的相关信息。

SpiderFoot 可在GitHub上免费下载使用。不过，GitHub上的版本已有两年未更新，且有二十多个拉取请求等待合并，超过一百个问题等待处理。这可能与SpiderFoot于2022年被Intel 471收购有关。收购条款未公开，但看起来自那以后，该项目的开源部分基本上被放弃了。

3. OSINT Framework

OSINT Framework 的开发初衷是帮助用户查找免费的开源情报（OSINT）资源，尽管其中一些数据源可能仍需注册，或在付费后才能获取更多信息。它并不是一个可以基于数据点进行分析和联动的工具箱，而更像是一个资源目录，用户可以通过它查找与目标数据点相关的更多信息。

OSINT Framework主要功能：

• 结构清晰，工具列表以树状结构呈现，按照你已有的信息类型进行分类，方便你基于现有数据点进一步查找相关资源。
• 以免费或开源工具为优先推荐。
• 由 OSINT 社区共同维护，因此资源列表通常是最新的。

OSINT Framework 完全免费且开源，源代码在 GitHub 上以 MIT 许可证发布。目前该项目仍在积极维护，最近的一次拉取请求合并是在不到一个月前

搜索引擎类

1. Ahmia.fi 

Ahmia.fi 是一个专门用于索引和搜索 Tor 网络中隐藏服务（.onion 网站）的搜索引擎。它可以帮助调查人员在无需手动浏览 Tor 网络的情况下，查找和访问 .onion 网站。

主要功能：

• 专注于暗网内容，但可以通过普通网页浏览器访问，无需使用 Tor 浏览器。
• 提供时间过滤功能，可将搜索结果限定在过去一天、一周或一个月内新增的条目。
• 会过滤掉可能涉及非法内容的结果。

Ahmia.fi 完全免费使用，且项目已在 GitHub 上开源，采用 BSD-3-Clause 许可证，欢迎有兴趣的人参与贡献。

2. Intelligence X

Intelligence X 专注于在常规搜索引擎无法索引的区域中检索信息，例如暗网、文档分享平台、WHOIS 数据库以及包含电子邮件地址、域名、网址、IP 地址、CIDR 段、比特币地址、IPFS 哈希值等的公共数据泄露记录。

主要功能：

• 相较于其他搜索引擎，覆盖范围更广，能够搜索多个来源的数据。
• 不仅检索当前数据，还存档并可访问历史数据。
• 支持多种类型的输入数据，如电子邮件、域名、IP 地址、比特币地址等。
• 提供高级搜索过滤功能，可按时间、媒体类型、特定国家、特定顶级域名（TLD）等条件筛选结果。

虽然是商业产品，但提供多达四种免费的使用等级。虽然这些免费版本功能相较付费版有所限制，但对于一般使用需求仍然足够。

3. Shodan

Shodan 是一个专门用于搜索互联网连接设备的搜索引擎，可以用于扫描 IP 地址，发现暴露的服务、工业控制系统、网络摄像头以及其他联网设备。

Shodan的主要功能：

• 以设备为核心进行搜索，与以网站为中心的传统搜索引擎不同。
• 显示服务横幅（即运行中的软件或硬件的元数据），通常包含版本号、漏洞信息和配置错误等关键细节。
• 支持基于地理位置、元数据、主机名、ISP、操作系统等多种参数进行筛选搜索。

虽然 Shodan 是商业化产品，并不提供完整的免费套餐，但用户无需登录即可进行基础搜索。

4. Censys Search

Censys’ search engine 的搜索引擎支持扫描证书和主机（如 IP 地址、域名或协议），有助于识别 Web 服务器、数据库以及其他面向互联网的系统中的配置错误。

主要功能：

• 提供详细的 SSL/TLS 证书信息，但若想查看历史变更、WHOIS 信息以及关联域名等内容，则需注册账户。
• 能识别开放端口上运行的软件、版本和协议。
• 扫描范围广泛深入，覆盖整个 IPv4 空间，常常能发现与其他扫描器不同的一批暴露服务和设备。

Censys Search 是一款商业产品，但允许用户在无需注册的情况下进行部分基础搜索，并在免费计划中提供更多信息。

基础设施分析工具 

1. BuiltWith 

BuiltWith 是一个网站分析工具，可以识别构建和运行任何网站所使用的技术。它能够揭示从内容管理系统（CMS）、电子商务平台，到分析工具、主机服务提供商以及广告网络的所有信息。

主要功能：

• 拥有超过108,000种网络技术的数据库。
• 跟踪网站上技术的历史使用情况。
• 与多家第三方供应商集成，尽管大多数集成主要集中在销售和营销领域。

BuiltWith 是一款商业工具，但对单个网站的查询是免费的，且无需注册。付费套餐则允许用户获取使用某种特定技术构建的网站列表。

2. Netcraft’s Site Report 

Netcraft's Site Report 的网站报告（Site Report）提供了针对任意网站的详尽安全与技术概览，依托 Netcraft 的互联网数据挖掘和网络犯罪监测能力。该报告让调查人员能够查看该网站的托管信息、网站流行度、网络详情，以及多种与安全相关的配置，包括 SSL/TLS、SPF 和 DMARC 记录。

主要功能：

• 网站报告涵盖关键安全内容，如 SSL/TLS 证书详情、HTTP 安全头（例如 X-Frame-Options、内容安全策略 CSP）及电子邮件身份验证记录（SPF、DMARC）。
• 报告提供网站托管情况、网站年龄和声誉等背景信息，有助于判断是否存在钓鱼或恶意意图。
• 跟踪网站托管提供商、IP 地址和域名服务器的变更历史。
• 报告页面设有便捷的可疑网站举报入口。

Netcraft 的网站报告完全免费，同时还提供付费产品，帮助用户查找类似网站。

威胁情报工具

1. AlienVault's Open Threat Exchange (OTX)

OTX 是一个免费的社区驱动威胁情报共享平台，安全专业人士在这里合作分享最新威胁的信息。用户可以查找有关攻击指标（IoCs）、恶意软件家族和对手的信息，还能按行业浏览威胁情报。

主要功能：

• 威胁情报以“脉冲”（Pulses）的形式组织，脉冲是经过整理的攻击指标（IoCs）列表，包含特定威胁的摘要、影响及其针对的软件。
• 通过 API，用户可以将共享的 IoCs 自动集成到自己的安全基础设施中（如 SIEM、 防火墙等）。
• 支持多种类型的攻击指标，包括 IP 地址、域名、网址、文件哈希（MD5、SHA-1、SHA-256）和电子邮件地址。

与许多商业威胁情报源不同，OTX 提供免费且开放的实时威胁数据访问。

2. WhoisXML API’s 威胁情报 API 

威胁情报 API 允许调查人员查找与任何域名、URL、IP地址、CIDR编号或被识别为IoC的哈希相关的威胁信息。它还支持通配符查询，帮助您查看是否有任何IoC使用了该搜索词。

主要功能：

• 无缝集成，查询响应采用标准化的 XML 和 JSON 格式返回。
• 多种数据来源，包括蜜罐、服务器日志、开源情报（OSINT）数据源以及ISP滥用报告。
• 覆盖多种威胁类型，包括网络攻击、僵尸网络使用、指挥控制（C&C）、恶意软件、网络钓鱼、垃圾邮件、Tor 使用以及可疑活动。
• 支持多种IoC类型，如域名、URL、IP地址、CIDR和哈希。

与大多数 WhoisXML API 工具类似，威胁情报API并非完全免费，但提供一定的每月免费额度，用户可以利用该额度进行试用（足以支持小规模调查）。

3. VirusTotal

VirusTotal 是一项免费的在线服务，可以针对可疑文件、URL、域名和IP地址，利用超过70个杀毒软件扫描器和威胁情报黑名单服务进行分析。用户只需扫描可疑资源，即可查看是否有任何威胁引擎报告其为恶意。

主要功能：

• 允许注册用户对指标发表评论，分享有价值的上下文信息，丰富其他用户的分析，有助于识别误报或漏报。
• 关系图功能使用户能够可视化文件、URL、域名和IP地址之间的关联。
• 除了威胁检测，VirusTotal还提供WHOIS注册数据和谷歌搜索结果。

VirusTotal 免费使用，但提供如API访问和YARA规则匹配等高级服务。

域名情报工具

1. WhoisXML API WHOIS 历史

WhoisXML API’s WHOIS 历史 功能提供了数十亿条域名的历史WHOIS记录，方便调查人员追踪域名所有权变更、注册详情和联系方式的历史变化。

主要功能：

• 多种数据访问方式，包括通过API, 网页版的查询工具，以及完整版的数据库访问。
• 对于较早的网站，该工具可访问GDPR实施前的WHOIS记录，这些记录中通常未被大规模屏蔽的注册人信息，有助于用户查找网站所有者的联系方式。
• 数据库每日更新，确保包含最新的记录。
• 由于采用标准化的JSON和XML输出格式，便于集成到各类工作流程中。

WHOIS 历史是商业产品，但注册后可获得500个免费API调用查询的积分。

2. WhoisXML API DNS 历史

WhoisXML API 的DNS历史产品包括DNS大事记API，网页版查询工具，以及 DNS数据库下载。调查人员能够执行正向和反向的历史 DNS 查询。正向查询允许用户查看特定域名的过去 DNS 配置日志，包括 IP 地址、域名服务器、邮件服务器及其他 DNS 记录的变更情况（部分记录类型仅通过数据库下载提供）。反向 DNS 查询则根据 IP 地址返回所有关联的完全限定域名（FQDN）列表。

DNS 大事记主要功能包括：

• 提供数千亿条历史 DNS 记录的访问权限。
• 按时间顺序详细展示域名的 DNS 活动时间线。
• 汇集被动 DNS 数据，这些数据来自全球传感器，记录了 DNS 解析的历史变化。
• 类似于 WHOIS 历史，WhoisXML API 提供灵活的 DNS 历史访问方式，可通过 API 集成或数据库下载使用。

与其他 WhoisXML API 工具一样，DNS大事记属于商业产品，但注册后可获得500个免费API调用查询的积分额度，可用于网页查询和API访问。

3. WhoisXML API’s IP 地理定位 API

IP 地理定位 API 也是 WhoisXML API 的一款产品，它为任意 IPv4 或 IPv6 地址添加地理和网络上下文信息，包括所属国家、地区、城市、邮政编码、精确坐标和时区。同时，它还揭示该 IP 地址对应的互联网服务提供商（ISP）、自治系统（AS）详情以及相关联的域名信息。

主要功能包括：

• 对 IPv4 和 IPv6 地址的覆盖率高达99.5%，涵盖全球数十万个独特地点。
• 提供非常具体的位置信息，包括纬度、经度和邮政编码，不仅限于国家或城市。
• 支持最多返回与目标 IP 地址关联的五个域名。

注册后即可自动获得包含1,000次查询额度的免费订阅计划。

4. WhoisXML API子域名查询工具

子域名查询 是一款简单的子域名枚举工具，提供网页版查询，API，以及子域名数据库。 

使用非常直接——输入一个域名，工具便会查询该域名下所有的子域名。

主要功能：

• 拥有超过96亿条子域名记录的数据库。
• 每天新增超过1500万个子域名。
• 为每个子域名提供首次发现日期和最后更新时间，便于识别不活跃的子域名。

与 WhoisXML API 旗下大多数工具一样，注册后可获得500个免费API调用查询的积分额度。

总结

开源情报工具是任何调查人员的重要利器——无论你是在从事网络安全、数字取证、威胁狩猎，还是只是怀揣成为“业余FBI探员”的兴趣。虽然网络上开源情报（OSINT）工具层出不穷，但要找到可靠、定期更新且真正有用的工具却并不容易。因此，我们将重点推荐那些真正有效且有价值的工具，无论你是追踪域名所有权、分析基础设施、绘制威胁数据地图，还是扫描深网。

许多工具都提供了足够支持小规模调查的免费套餐。结合使用，它们可以帮助你更清晰地了解网络威胁、可疑基础设施和数字足迹——无需昂贵的软件授权费用。当然，使用时请务必核实发现内容，遵守隐私法律，负责任地运用开源情报。