1.  使用介绍

DWM 基于不同权限，可查数据量和数据类型有所区别。本文档中仅针对“全量”数据进行介绍，其他权限使用方法相同。

1.1.  使用界面

使用浏览器开启 https://0.zone （建议使用电脑登录，由于样式匹配问题，手机登录可能效果不理想），并登录您的账号，在首页选择 DWM 进入本模块：

进入通用界面：

1.2.  快捷数据分类区

该区域可进行快捷检索，包括：语言、国家、省、市、行业、涉及组织、事件、标签、页面属性、相关邮箱、 telegram 、域名、作者、热点标签。所有分类中重要功能和事项：

1． 并非每一条情报数据都会赋予相关类型，由于情报的非结构性、自然语言性等特征，以及每天庞大的入库数量，实际上可以赋予类型的数据仅占总量的不到 10% ，随着分析引擎和算法的优化，这个比例会逐步提升；

2． 每条情报都可能被赋予多个数据类型，即使在一个数据类型中也可能被赋予多条子类型，例如： “事件”中的子类型包括“数据泄露”、“虚拟货币”等，如果某条情报是一个虚拟货币网站的用户泄露，则既会被标注为“数据泄露”，也会被标注为“虚拟货币”；

3． 所有分类中， “热点标签”和“事件”是经常会使用并且部分功能效果雷同的类型，此处进行说明：“热点标签”全部子分类包含： -1 、 0 、 1 、 2 、 3 ，该分类是为了由另一维度针对“数据泄露”的识别进行优化而尝试的预研项目，其中 -1 、 0 、 1 使用了 AI 算法（ -1 、 0 为 AI 识别的非数据泄露信息、 1 为 AI 识别的数据泄露情报）， 2 、 3 为人工标识的数据泄露情报，该项目速度、效果、稳定性处于测试和实验阶段；“事件”全部子分类包含：数据泄露、政治、黑产灰产、咨询和新闻、恐怖活动、攻击情报、黄赌毒、虚拟货币、其他，该分类基于特征算法对情报识别后进行子分类标识，算法中主要进行持续性优化的是“数据泄露”，如有其他优化项可与我们联系。从目前实际效果来看，“热点标签”比“数据泄露”事件准确率高，用户和参考使用。特别说明：由于情报原始数据的复杂性，无论是特征算法还是 AI 算法，目前均无法保证标识的全面性和准确性（虽然我们在持续性优化算法，但这需要时间的积累），如果需要更加全面和准确的数据，请使用“高级查询”自定义规则进行检索和情报定位；

4． “标签”项包含内容较多，多数是根据特定关键词或者特定源将情报赋予的标签项，其中经常使用的标签包含“黑客组织”等，例如检索时输入“ (tags== 黑客组织 ) ”，可查看到 Karakurt 、 Bianlian 、 8base 、 Quantum 等黑客组织的官方网站。

1.3.  高级查询

高级查询中，可以进行规则定制的条件包括：事件、行业、语言、组织、国家、省、市、标签、网页标题、页面属性、网页内容、描述、来源、作者、涉及 telegram 账号、涉及邮箱、热点标签、顶级域名。其中“网页标题”、“网页内容”、“来源”、“顶级域名”四个条件未经过任何算法处理，查询时会直接从原始情报中检索，是“绝对可信”条件。

进行高级查询时，可以进行两层条件的嵌套，每层条件中均可使用 “且” / “或”进行多个条件组合。

     更多使用方法和说明，请参考 https://0.zone/grammarList 页面中的“【企业 DWM 情报】高级查询参数”部分。

1.4.  订阅

DWM 数据也支持条件订阅，通过右上角的“个人头像” - “订阅中心”，进入 https://0.zone/subscription 页面，可定制您需要订阅的情报条件。

     订阅的使用方法与 “高级查询”完全相同，由于订阅条件用户当前无法自助修改，建议首先使用“高级查询”进行条件测试，达到效果后，再使用订阅功能订阅您需要的条件。

1.5.  收藏

DWM 允许用户进行查询语法收藏，在查询搜索了某一个结果后，点击搜索栏右侧的“ ★ ”即可进行语法收藏：

回溯曾经的收藏，在右上角账号 - 账号中心 - 语法收藏中即可寻找到：

2.  示例

v  查找 johnhana 在“经典” BF 中发布的针对我国的数据泄露贩卖情报

在搜索框中使用高级语法 “ (msg.author==johnhana)&&(regions.country= 中国 )&&(root_domain=breached65xqh64s7xbkvqgg7bmj4nj7656hcb7x4g42x753r7zmejqd.onion)&&(page_type= 详情 )&&(page_type=! 详情次页 ) ”，其中：

Ø  “ msg.author==johnhana ”表示检索作者；

Ø  “ regions.country= 中国”表示情报涉及国家；

Ø  “ root_domain=breached65xqh64s7xbkvqgg7bmj4nj7656hcb7x4g42x753r7zmejqd.onion ”表示情报源地址（本示例地址即为“经典” BF 论坛的暗网地址，由于其已经被关闭，无法访问，故本文中将其完全显示，并未“打码”）；

Ø  “ page_type= 详情”表示只看详情页面；

Ø  “ page_type=! 详情次页”表示不看次页（“次页”表示论坛中的回复贴页面）。

也可使用图形化条件检索：

     即得到如下结果（下图马赛克为特别处理，平台没有）：

点击需要查看的情报，进入详细信息页面（下图马赛克为特别处理，平台没有），会提供和展示全部原始内容（包括标题、原文内容、样例数据等），并在左侧列出重要信息（包括情报原始访问地址、数据类型、涉及地区、作者、联系方式等）：

     在实际使用和操作中，结合 DMW 平台左边栏“快捷数据分类区”的功能，上手难度会比想象中简单。

祝您能够快速寻找到所需情报信息。

3.  模块答疑

v  DWM 是什么意思？

Dark Web Market ，暗网市场，它包含以 Web 形式访问的黑客论坛、交易市场、数据拍卖会、黑客组织网站、暗网博客、新闻等情报，但不包括即时通讯（ IM ）软件，例如 Telegram 、 Discord 、 TOX 等，匿名即时通讯情报在 0.zone 的 AIM 模块中。

v  我知道暗网论坛，例如 BF 、长安不夜城，为什么还需要 DWM ？

以我们当前掌握的情报来看，暗网中存在着百万量级的活跃网站，其中至少有数万个网站会涉及到与黑客行为和开源情报有关的数据泄露情报、非法数据交易、攻击情报、黑客组织等。如果您的需求只需要关注 BF 和长安不夜城，我们并不推荐使用 DWM ，因为您的需求使用免费的方式即可完成。另外，我们推荐您也可以再关注一下 XSS 、 Exploit ，它们也拥有较高质量的情报数据。

v  据我所知，一些数据泄露网站是发布在明网的，你们只监控暗网吗？

DWM 并不只监控暗网，它也会监控深网和明网，它是一个跨协议蜘蛛爬虫集群。实际上 0.zone 引擎是一个开放式开源情报采集引擎，它会无限制（除非管理员进行干涉）采集明网、深网、暗网中一切管理员告知它有价值的数据，并用于相关的开源情报分析。

v  你们有源列表吗？据我所知暗网中的网站经常更换域名，你们能监控吗？

DWM 监控的网站总数大约在十万量级，我们无法把它导出，但您在平台中可以基于不同的检索条件看到这个列表相关的部分。由于它是一个无限制蜘蛛爬虫，它会基于任何线索智能的寻找明网、深网、暗网中的任何有数据泄露情报的网站，并加入到该列表中，所以您无需担心。

v  如果暗网源关闭或发布的情报被删除了，还能从你们的平台上查询到吗？

可以， DWM 使用了全镜像存储技术，任何情报只要被它发现，都会将其以全镜像的方式存储起来，包括原格式、内容、链接、图片、文本、附件、富文本等，使其看起来就和源站一样，并且不会受到因源站变化而引起的任何影响。例如已经被关闭并下线的“经典” Breachforums 网站，依然可以在 DWM 模块中完整复现。实际上 DWM 一年存储的情报数据量能达到 PB 级。

v  你们的数据更新及时吗？每天的数据量有多少？

DWM 的爬虫集群有良好的调度逻辑，它们对于高质量站点的数据会进行实时采集（对于部分有严格防护策略的网站会在不触发规则的极限范围内及时采集），对于不同优先级的网站采集时间会有区分，最长为 24 小时。每天的入库情报约在 2 万 -10 万条区间。

v  你们的平台安全吗？我是否还需要访问原始站点？

DWM 的数据采集引擎无论终端爬虫、数据传输、数据存储，已进行全链路加密，并且拥有多层跳板、日抛型 VPS 、严格的账号圈养制度等，以保障其安全性和无法溯源性。您在使用 0.zone 检索和获取情报时，访问的是 DWM 的数据库，而非采集引擎，这个行为 100% 使用的是 DWM 的本地资源，不会有任何痕迹泄露到外网中。 DWM 提供了镜像仿真和全部情报细节，您无需再访问原始资源即可获得情报（除非您需要与原始资源进行互动，例如：下载数据、与作者联系等，如果您是国家机关或是已与我们签约的甲方客户，有此需求也可以授权委托我们进行操作）。

v  你们能监控什么类型的数据泄露？我们系统的密码泄露可以监控吗？

DWM 模块只能监控在暗网、深网、明网中被非法买卖的数据泄露情报，此外还有一部分不通过暗网市场和论坛，而是通过 telegram 进行数据买卖的，这需要通过 0.zone 平台的 AIM 模块进行监控。通常在暗网和 telegram 中被买卖的数据均为企业的业务数据、客户数据或个人隐私数据，也就是《数安法》和《个保法》中界定的范围，因为它们才有交易价值。系统的密码和配置文件在代码仓库、网盘、社区等泄露，或者企业员工的邮箱地址和密码的泄露等，属于企业“数字资产暴露”，该服务可参考我司“商品”列表 https://0.zone/dataService 中的“暴露面检测产品”和“安全服务”栏目。

v  当我用你们的平台监控到数据泄露后，还能做什么？

您可以访问我们的 “商品”列表 https://0.zone/dataService 中的“安全服务”栏目，我们为已签约甲方客户提供闭环服务，包括暗网数据泄露的监控、代采、评估、下线处置等服务。

v  你们能帮我查一下我有数据泄露吗？以证明你们的能力。

非常抱歉，这需要基于您的企业定制情报检索和订阅规则。我司以产品研发为主，服务人员有限。我们能够提供产品讲解和试用，以证明产品力，您也可以在试用时自助测试，但我们不提供售前阶段的人工服务。

v  你们主要卖给谁？乙方能买吗？我能 “白嫖”吗？

我们是情报数据服务公司，产品面向所有单位。如果您是负责安全和监管的国家机关，请告知您的具体单位、职务、需求，我们将基于实际情况为您制定商业和产品策略；如果您是甲方单位，我们可以提供不超过 1 个月的阶段性试用，并基于您的需求提供不同的产品或服务报价；如果您是乙方单位，通常您需要将数据下载到您本地使用（我们支持您将情报数据进行下载），我们会提供 1-2 周的阶段性试用和下载 API 接口为您测试，并基于您需要的数据类型提供不同的报价方案。如果您是个人用户，可以关注公众号“零零信安科技”，该公众号每天会发布不少于 5 条国际数据泄露“新闻”，您可以通过它访问 DWM 中该“新闻”对应的情报信息，这是免费的（需要注册 0.zone ，并进行企业邮箱的认证）。