一些内部未公开的小蜜蜜

最近天气忽冷忽热，我感到是时候推出一波秋季特供冷知识了。写在前言里面的第一条冷知识就是，如果你文章的内容不够丰富，简单来说就是字数不够多的话，是没有办法成为原创文章的，不是原创文章就无法填写作者，看来想要进行冠名实力和马内都是必不可少的，如果你写了一篇文章并且为自己起了一个笔名，但是最后没能发布出来，那就非常心痛了，具体多痛只有咨询“分词”文章的“那位作者”。

今天主要是想介绍一些Quake使用过程中实用性很强但是不易发觉的发现，之所以不易发觉绝不是因为我们没公布出来，并且上一段文字也绝不是为了水字数。

Tip1. 不认识的服务

在某次使用的过程中偶然发现了一个非常有意思的服务（就是协议），在系统中叫做unknown，可以使用语法name:unknown进行检索，并且这样的数据数量还不在少数。这种“无法识别”的协议还是具有相当的研究价值的，如果说其中恰好有各位认识的协议，但是quake未能收录，也欢迎大家使用反馈功能或联系官方WX与我们取得联系，如果想要进一步了解这一现象是如何造成的，也欢迎与我们共同研究探讨。

Tip2. 新语法速递

紧接上文，刚才的方法是我们通过服务名称查找到了一些不可理解的响应值，那么反过来考虑，如果我们发现了一些“特别的”响应值，能否在系统中一口气把所有具有完全相同响应的目标都找到呢，这就需要用到新上线的语法，比如同样是上面这张截图，可以使用语法response_hash:"b5f3729e5418905ad2b21ce186b1c01d"进行检索，需要注意的是，这个语法代表了完全匹配，而不是包含关系。BTW，这个特征绝绝大部分是软银在使用，网络空间的有趣之处在于，这可能是一个专有符文，也可能是外人小题大做。BTWAG，这个新语法目前应该只有终身用户可以使用，理论上还没有公开。

Tip3. 隐藏产品

又是一个意外发现，颇有一种找系统彩蛋的感觉。无意中发现了系统会识别一种产品叫“扫描黑洞”，也说不好有产品就给自己取了这种名字，并且还有专门的英文名称，说明录入人并不是随便起的条目，于是检索了一下产品库试图找到产品的更多信息，然而查询结果是零，说明这是系统为了标记专门设置的非公开的产品条目。

随机打开了几个IP的详情页看了下情况，最明显的一个特征是，端口和协议的数量非常多，而且很多端口是未知协议或者无响应信息，初步判断是蜜罐或者消耗扫描性能的一种手段，能够感受到这种全网测绘的对抗性。

Tip4. 空即是有

发现这个问题算是上面两个小结的引申了，在上述过程中我发现经常会出现一种结果是暂无数据，如下图所示，这个情况确实不是因为权限问题，是响应值的确为空，也就是端口扫描结果为开放，但没有响应任何一种探针的情况，需要特别说明的是，有部分结果显示为默认的协议。可以使用语法response_hash:"d41d8cd98f00b204e9800998ecf8427e"实现空值检索，这种ip如果排除掉黑洞的情况，至少可以确实是认为对抗或存在一定目的的行为，具有进一步的研究价值，这种ip的发现也是引擎研究和升级的意义所在。

Tip5. 推荐几个实用技巧

篇幅有限，本小节将会集中列举几个有用但不常用的技巧。

·  ports: " 80,8080,443 "可以一次性搜索多个端口，服务数据等于or拼接，主机数据相当于and拼接；

·   清空批量搜索

如果有时候感到搜索结果还带有上一次的内容，或者很简单的搜索语句没有结果时，可能是由于“您的操作太快了”导致的，这个时候可以尝试使用批量搜索里面的“清空”功能，确保进行一次真·重新检索

· 通配符

这个方法我暂时只在检索域名的时候发现有奇效，如果你只知道一个域名的一部分，注意，此处指的不是用“点”分开的部分，而是被点夹住的部分的一部分，以我的语言功底有点难以形容了，总之可以试一下：domain:*.baidu.com和domain:*baidu.com的区别，特别注意：不要加引号，别问原理问就是超纲题

添加管理员微信号：quake_360

备注：进群    邀请您加入 QUAKE交流群~