【区块链取证篇】电子数据取证每日一练-虚拟币取证1

文摘   2024-11-12 12:08   江苏  

电子数据取证每日一练

本栏目主要是针对比赛题目进行分析和解题思路分享,只进行知识分享,不具一定的实战能力,后台不解答涉及可能侵害他人权利的问题,切勿用于违法犯罪活动。如果有工作方面的解答需求,请后台联系添加微信私聊。

本文对2024美亚杯团体赛涉及IDFC虚拟币取证的部分进行知识学习和题目解答。本次比赛的关键在于Alice的安卓设备其中保存的Whatsapp群聊记录,涉及到犯罪团伙内成员分工、实施诈骗的手法和虚拟币地址等证据。

本题所需知识点

区块链&虚拟币

参考链接:

区块链(比特币、数字货币)概念、原理、技术和应用 - 知乎https://zhuanlan.zhihu.com/p/59414349

一文读懂区块链技术

https://blog.chain.link/what-is-blockchain-zh/

币圈必须明白的东西:私钥、公钥、钱包、地址、助记词 - 知乎

https://zhuanlan.zhihu.com/p/33054223

区块链基础知识

区块链(Blockchain)是通过密码学链接,不断增长的记录链表

  • 区块链的过程原理

    区块链是一个数字化账本,由去中心化的计算机网络负责储存和维护。网络中的每个计算机(即:节点)都运行同样的软件,并维护、储存和验证同一个账本的副本。公链使用其原生资产(即加密资产)为节点提供经济激励,鼓励节点积极通信,最终就账本的有效性达成一致意见(即共识)。

    用户提交交易,将价值从一个账户转移到另一个账户,以此对账本添加内容。用户的账户被称为公钥或公有地址(public address),每个公钥都有对应的私钥。公钥就像是电子邮箱地址,而私钥就像是密码,持公钥的人必须输入密码(注:这个密码也叫数字签名),才能从账户转账出去。

    待执行的交易会被打包进“区块”中,然后网络中的每个节点都会对这些交易进行处理和验证。让所有节点都验证交易是为了确保帐本中的变更得到重复验证。钥中必须存放足够的资金并且数字签名必须正确无误,交易才能顺利执行。

    一旦区块被确认,就会附加在不断扩大的分布式账本中。账本就是由一个个区块基于密码学连接而成的,因此被命名为“区块链”。节点提供服务会获得交易费或新创建的加密货币作为奖励,这也称为区块奖励。

    区块链网络:网络中的节点之间如何连接及分布的

    共识机制:协议、准则

    激励机制:一个节点提供服务会获得交易费或新创建的加密货币作为奖励

    智能合约

虚拟币分类(以下称虚拟币均为第三类)

  • 第一类是大家熟悉的游戏币。在单机游戏时代,主角靠打倒敌人等方式积累货币,用这些购买游戏装备,但只能在自己的游戏机里使用。那时,玩家之间没有“市场”。自从互联网建立起门户和社区、实现游戏联网以来,虚拟货币便有了“金融市场”,玩家之间可以交易游戏币。

  • 第二类是门户网站或者即时通讯工具服务商发行的专用货币,用于购买本网站内的服务。使用最广泛的当属腾讯公司的Q 币,可用来购买会员资格、QQ秀等增值服务。

  • 第三类互联网上的虚拟货币,如比特币(BTC)、莱特货币(LTC)等。主要用于互联网金融投资也可以作为新式货币直接用于生活中使用。

常见虚拟币

BTC比特币、ETH以太坊、TRX波场、BNB币安币、OKT、HT火币、MATIC马蹄链、FIL 文件币、USDT泰达币、USDC

XX币:指网上各种非主流币

  • BitCoin 比特币【最知名、使用度广】

  • ETHEREUM 以太坊

  • USDT 泰达币【!!!桥梁!!!】:泰达币与美元的汇率为1:1,置换现实货币与虚拟货币

钱包(Wallet)

去中心化钱包:密钥掌握在用户手中使用(币安、0KX、火币等)中心化钱包:用户将密钥交由第三方来使用(imToken、TP钱包、小狐狸钱包、比特派钱包、麦子钱包等)

钱包地址查询

搜索区块链地址、交易哈希 | OKLink

https://www.oklink.com/zh-hans/multi-search

取证整体性思路

  1. 首先我们需要找到分析对象即数据源:目标钱包地址,这就涉及到对钱包地址的检索虚拟货币交易相关APP、PC程序的取证技术

    钱包地址主要来源于虚拟货币交易相关的APP 和PC 程序中,可对相关的手机钱包APP、交易所APP、PC 程序进行本地数据和云端数据的取证,如imtoken、比特派等钱包APP,火币、币安、OKEX等交易所APP,可提取到相关的充提币交易记录、登录IP 等信息。这里值得指出的是,虽然钱包地址的交易记录在链上都可查询,但针对中心化的交易所,虚拟货币的部分交易记录只记录在交易所内部,没有同步到公链,如交易所内部的买卖撮合订单等,在公链上查询不到,因此为保证取证数据的完整性,对虚拟货币交易相关APP、PC 程序的取证很有必要。

    钱包地址可能来源于聊天软件的对话记录中,通常以字符串、单词组合(钱包地址的私钥)等形式出现,可借助于正则表达式对相关钱包地址进行检索。

    钱包地址也可能以图片的方式保存在相册等媒体文件或PC 电脑上,可通过OCR识别技术识别钱包地址或密钥的相关图片,因此虚拟货币钱包地址的取证主要是针对相关检材的取证,包括交易APP、聊天记录、相册等。

  2. 拿到目标钱包地址后,需要对同链数据下载、数据清洗,实现目标钱包地址的交易记录、资金流向分析,涉及到钱包地址交易记录的分析技术

  3. 钱包地址具有匿名性,归属于中心化交易所的钱包地址才可以调证,因此涉及到钱包地址的归属性标签技术

  4. 扣押的虚拟货币如何存管与合规处置,涉及到虚拟货币的存管和合规处置技术。

题目解析

7.参考Alice_Mobile.bin,受骗女子欧凯被指示将虚拟货币转到哪个钱包地址? (答案格式: 大写英文字母, 小写英文字母及阿拉伯数字混合组成,例如: 0xDasdGJHI34twebGHJK2354YU34h) (2分)  

0xdA9AE5b1bA2F404D0490dcd18a5C2247866FD148

20.你发现了该犯罪团伙似乎有一个共同的聊天群,其中包含有关可疑资本管理(与虚拟货币相关)的更多线索。 参考该聊天群组对话分析,John,David及Alice筹集资金的目的是什么? (1分)  

B.建立一个网站用作行骗

通过阅读Whatsapp“三五成群”群聊的内容可以获知

因为很多是粤语的文字表达习惯,不太能看清楚,赛后尝试使用AI来对导出的聊天记录进行分析,也可以确定是建立一个网站来实施诈骗

21.参考該聊天群对话、David,Emma與Clara 的对话及IDFC的交易记录分析,哪一个虚拟货币地址储存John,David及Alice所筹集的IDFC? (3分)  

A. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6

B. 0x04d079c7ace663bbe1d2c201072d63b036d16ccd

C. 0x10a4f01b80203591ccee76081a4489ae1cd1281c

D. 0x8155c0b8a0c95424f433d8ab6342086f0433e6c4

A

BD选项在交易记录中查询不到。C选项先是两笔转入共收到90000IDFC,后又转出90000IDFC。A选项只有转入

22.参考Alice_Mobile.bin,Alice 总共使用了多少个虚拟货币地址直接接收受害人的IDFC? (2分)  

6

23.參考David_Laptop.e01內找到的IDFC交易记录,在收取受害人的IDFC后,它之后会再流向哪些虚拟货币地址? (2分)  

A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6

B. 0x70544880875fe907cee383873ca58da23378caa5

C. 0x152c90200be61a540875f2a752c328bd19dbfb87

D. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220

BCD

24.承上题,上述IDFC去到那些地址后,谁掌管这些IDFC?  (提示:分析IDFC的交易记录及个人赛所搜集的证据) (2分)  

A. Alice (回復種子:pumpkin fold behind captain shoulder demand print hospital like smoke gate weird)

B. Ben (回復種子:wrap muscle rhythm stamp bundle zebra gorilla shuffle common tattoo ginger awake)

C. John (回復種子:abandon among anxiety pizza evidence face quiz ripple nerve pact nasty unveil)

D. David (回復種子:stock avocado grab clay light sadness segment ancient toe talk elder oil)

D

25.2024年9月,Tom Victor带同其秘书Amy来到警署报案,称其秘书被骗子用人工智能视频在2024年8月29日早上骗去10,000,000 IDFC,请找出该交易的交易哈希(Transaction Hash) ? (2分)  

0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d

回到个人赛David_Laptop_64GB.e01中保存的IDFC交易记录

26.就現時搜集到的證據、David_Laptop_64GB.e01内的资料及IDFC的资金流分析,下列哪些虚擬货币地址是最終诈骗集团儲存犯罪所得的地址? (3分)  

0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
0x90f73497e4446f6cf9881213c32d6af66d799fe5

查询IDFC交易记录中的资金动向,找到没有出度的节点,即表中只在to出现的地址。下面这两个地址有转出记录





往期内容推荐

电子数据取证每日一练往期合集

DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章