给你们提个醒：关于爱游戏的换皮页套路，我把关键证据整理出来了

最近看到不少朋友在群里、评论区以及私信里问，怎么确认所谓“爱游戏”相关页面是真还是假，尤其是那些看起来一模一样、但地址不对、登录后会把人引导去奇怪地方的页面。花了几天时间把常见套路和可检验的证据类型整理了一遍，贴在这里，方便大家遇到可疑页面时自己快速判断和取证，必要时还能拿去投诉或报警。

一、什么是“换皮页” 换皮页一般指把一个真实站点的前端界面（图片、样式、文案）复制或模仿，但后端逻辑、域名和数据接收方被替换为攻击者控制的服务。外观相同，但目的不同：窃取账号、绑卡、诱导下载带后门的安装包等。

二、常见套路（针对爱游戏类平台的常见表现） 1) 域名近似但不完全一致：用一两个字符替代、增加前缀后缀、用拼音/数字替换字母等。 2) URL 参数或二级页包装真实页面（iframe 嵌套、自定义 frame）：地址栏看起来正常，但实际请求指向别的域。 3) 伪装的登陆/激活弹窗：弹窗要求重复输入密码、短信验证码或要求授权隐私权限。 4) 盗用静态资源：直接热链真实站点的图片/样式，但表单提交地址指向攻击者服务器。 5) 假客服和假认证标识：用伪造的客服微信、钉钉群二维码，甚至伪装运营活动页诱导扫码。 6) 诱导下载“补丁/客户端”：下载链接不是官方包，安装后可能窃取信息或劫持浏览器。

三、我整理出的“关键证据”类型（任何人都能按这套流程去核验）下面的项目是判断和取证时最有说服力的证据。把这些信息截图/保存后，投诉给平台或执法机构的成功率会高很多。

1) URL 与域名信息

截图地址栏（含时间）并保存完整 URL。
对比域名拼写、二级域名、端口等细节。
查询 WHOIS（域名注册信息）截图：注册时间、注册者邮箱、注册商。
为何关键：换皮页域名往往新注册、注册信息不透明或隐藏。

2) TLS/证书信息

在页面上点击锁形图标，截下证书颁发者与有效期。
用 openssl 或浏览器抓取证书详情并保存。
为何关键：合法站点常用长期或知名 CA 证书，换皮页可能用自签证书或与官方证书不一致。

3) 网络请求与表单提交目标

打开开发者工具（F12），在 Network 面板截图表单提交（POST/GET）的目标域名与路径。
保存完整请求头（含 Referer、User-Agent）与返回。
为何关键：页面看着是官方样式，但表单提交到攻击者域名就是证据。

4) 页面源代码与静态资源对比

保存页面源代码（view-source）和关键静态资源（logo、JS、CSS）的 URL。
用文本或哈希对比与官方站点相应文件是否完全相同。
为何关键：证明页面是克隆或热链官方资源但修改提交逻辑。

5) 重定向链与 iframe 嵌套

抓取页面的重定向链（curl -I -L）并保存日志。
截图页面是否通过 iframe 嵌套真实站点或第三方域。
为何关键：一些页面试图掩盖真实来源，通过重定向或嵌套混淆。

6) 下载包与安装文件

若页面提供客户端下载，先不要安装，保存下载链接与安装包（哈希值）。
用 VirusTotal/在线沙箱分析安装包，并记录结果。
为何关键：直接证实是否含有恶意代码。

7) 活动/客服截图与对话记录

保存涉及的优惠、客服微信/二维码、聊天记录（尽量带时间戳）。
为何关键：展示该页面是如何诱导受害者配合。

四、实战检测步骤（遇到可疑“爱游戏”页面，快速核验） 1) 不要输入账号密码或验证码，先截屏保存页面。 2) 看地址栏：完整域名不对就停手。 3) 检查证书：点击锁，确认颁发机构与主站是否一致。 4) F12 → Network：找到登录请求的目标域名并截图；若目标不是官方域名，基本可以判定为危险。 5) view-source：检索 form action、iframe、外部脚本（.js）地址。 6) WHOIS 查询并截图（whois.domaintools.com 或各大域名查询服务）。 7) 如果下载了安装包，先不要运行，上传 VirusTotal 检测并保存报告。 8) 收集所有证据后，截图、按时间线整理，并把链接/文件打包备份。

五、被套取信息后该怎么办（快速处置） 1) 立刻在官方渠道修改密码并开启二次验证（若能登录官方账号）。 2) 如果绑定了支付方式，立刻联系银行/支付平台冻结或监控异常交易。 3) 把你收集到的证据打包（截图、请求日志、安装包哈希、对话记录），提交给平台客服与域名注册商的 abuse。 4) 向当地公安网络犯罪部门报案，提交证据材料。 5) 若涉及资金损失，保留银行流水和交易截图，方便后续司法处理。

六、如何举报与传播证据