转自：小白学黑客

今天在知乎看到一个提问：

在下面回答区，我看到网友分享的真实案例，大家可以看一下，顺便了解一下网络溯源是怎么一回事，也给大家一些启示。

---

我朋友在创业，听说他公司被人搞了，请我去帮忙看下。

我发现他们公司服务器会反连一个域名叫：http://yk.sy***cn.org

于是我查了下这个域名

手机号明显是假的不用说了，邮件看着倒是真的，顺藤摸瓜看了下这个人的gmail

通过忘记密码，发现手机号末尾两位：

*********67

继续看了下这个人注册的相关域名。

除了yk.syncn.org, 还注册了

• http://spa**work.co

• http://bt**so.org

• http://xi***iele.com

别着急，咱们一个一个地看。

我发现“btsoso.org”在百度中居然还能搜到一些东西。

有名为“space”和“spac”的网民对该域名进行过推广，并留有qq（956308460）联系方式

这个QQ号的昵称叫SB

照着这个QQ号人肉一番，发现这个QQ号做名字在“红客联盟”、“暗组技术论坛”、“合购网”等多个黑客交流论坛发布信息。

那就，翻下他的帖子？

发现主要关注“webshell”、“木马免杀”、“远程控制”。想再深入挖掘下，于是就想起了QQ特么不是有邮箱么！

用http://threatbook.cn查了下956308460@qq.com注册的网站，发现大部分都叫kong ge。

太没新意了，你说这帮做黑客的就不能摒弃"哥"这个占便宜的称谓么，袁哥，黑哥，泉哥，能不能有点新意！能不能！？(最后发现人家其实叫空格........可见我对安全圈哥哥哥之类的称谓深恶痛绝)

拿着"空哥"的邮箱，去翻了下已经公开的信息，发现这个邮箱跟另一个邮箱高度关联10391516XX@qq.com。而且登录账号的地址都是广东省清远市。

没找到手机相关的信息。然后拿着两个qq号，去各个网站找回密码等地方去碰撞，终于把手机碰出5位。是"132****5767"。

中间的星号看不见，但其实中间4位是能猜的，地址是广东清远，前三位是132，排查下就能知道，具体我这里就不透露了。

拿到手机号之后，然后根据手机号查询微信，再结合用QQ查微信，发现都是一个人，基本上确认没错。

然后用这个手机号再去网上搜下，发现能找到这个人的身份证441801******144617（我打码了）。

身份证手机号都知道了。拿着这个手机号翻支付宝，发现这个人叫曾*锋，支付宝的邮箱是space***@163.com（我又打码了）。

又有新信息可以清洗了，还可以再拿这个邮箱再查。但没必要了，想知道的都知道了。

这大概就是追查流程，其实无外乎几点吧。

所以人在江湖飘，尽量用小号，别把自己的信息到处留，保不准哪一天就成了别人人肉的线索。

有道无术，术可成；有术无道，止于术

欢迎大家关注Java之道公众号

好文章，我在看❤️