Strix Archer
O Strix Archer é uma ferramenta OSINT gratuita e de código aberto para Linux — feita para desafios de CTF e alvos de laboratório autorizados — que realiza reconhecimento passivo de domínio e identidade (DNS/RDAP/crt.sh, busca de nomes de usuário e e-mails, OSINT do GitHub, verificações de vazamentos), além de uma verificação de senha segura baseada no k-anonimato do HIBP.
O Strix Archer combina um mecanismo OSINT sem dependências, baseado apenas na biblioteca padrão, com wrappers para ferramentas populares — usando Sherlock, maigret, holehe, theHarvester e SpiderFoot quando instalados, e recorrendo à própria implementação quando não estão. Ele faz reconhecimento de domínio (DNS-over-HTTPS, RDAP/WHOIS, subdomínios do crt.sh, impressão digital de HTTP + cabeçalhos de segurança), reconhecimento de identidade (busca de nomes de usuário com limite de taxa, OSINT do GitHub, Gravatar, busca de vazamentos) e uma verificação de senha segura baseada no k-anonimato do HIBP. Uma confirmação de consentimento única o restringe ao uso autorizado em laboratório; tudo é passivo e somente leitura, com um relatório .txt e um relatório HTML escuro.
- Preço
- Gratuito — código aberto (MIT)
- Plataformas
- Linux
- Categoria
- OSINT
- Desenvolvido com
- Python
- Alternativa de código aberto a
- Sherlock, maigret, SpiderFoot, theHarvester
- Telemetria
- Nenhuma — totalmente off-line
- Atualizado
Um olhar por dentro

O que ela faz
- Mecanismo integrado baseado na biblioteca padrão + encapsulamento automático de Sherlock / maigret / holehe / theHarvester / SpiderFoot quando presentes
- Domínio: DNS-over-HTTPS, RDAP/WHOIS, subdomínios do crt.sh, HTTP + verificação de cabeçalhos de segurança ausentes
- Identidade: busca de nomes de usuário com limite de taxa, OSINT do GitHub (e-mails vazados em commits), Gravatar, busca de vazamentos no XposedOrNot
- Verificação segura de comprometimento de senha via k-anonimato do HIBP — a senha nunca sai da sua máquina
- Confirmação de consentimento única, com limite de taxa por design; passivo e somente leitura; relatório .txt + relatório HTML escuro
O que o Strix Archer deliberadamente não faz
- É passivo e somente leitura — ele nunca explora nem ataca ativamente um alvo.
- É destinado apenas ao uso autorizado — uma confirmação de consentimento única impõe o reconhecimento dos termos.
- A verificação de comprometimento de senha nunca envia sua senha (k-anonimato do HIBP).
Instalação
🐧 Linux (Ubuntu / Debian)
git clone https://github.com/strix-tool/strix-archer
cd strix-archer
python3 strix_archer.py -u demo-user --i-am-authorized Perguntas frequentes
O uso disto é legal?
Somente contra desafios de CTF / personagens fictícios ou alvos que você possui ou está explicitamente autorizado a testar. Traçar o perfil de pessoas reais sem consentimento pode constituir assédio e ser ilegal — uma confirmação de consentimento única impõe o reconhecimento dos termos.
Preciso instalar alguma coisa?
Não — o mecanismo integrado usa apenas a biblioteca padrão do Python. As ferramentas opcionais (Sherlock, holehe, …) são encapsuladas automaticamente se estiverem presentes, e o `--setup` as instala em ambientes pipx isolados, para que o Python do seu sistema permaneça intacto.
Movido a código aberto
O Strix Archer encapsula estas ferramentas de código aberto e serviços públicos — não os empacota nem os modifica. Obrigado a cada projeto e serviço de terceiros.