电子数据取证每日一练
本栏目主要是针对比赛题目进行分析和解题思路分享,只进行知识分享,不具一定的实战能力,后台不解答涉及可能侵害他人权利的问题,切勿用于违法犯罪活动。如果有工作方面的解答需求,请后台联系添加微信私聊。
本文对2024美亚杯团体赛涉及IDFC虚拟币取证的部分进行知识学习和题目解答。本次比赛的关键在于Alice的安卓设备其中保存的Whatsapp群聊记录,涉及到犯罪团伙内成员分工、实施诈骗的手法和虚拟币地址等证据。
本题所需知识点
区块链&虚拟币
参考链接:
区块链(比特币、数字货币)概念、原理、技术和应用 - 知乎https://zhuanlan.zhihu.com/p/59414349
一文读懂区块链技术
https://blog.chain.link/what-is-blockchain-zh/
币圈必须明白的东西:私钥、公钥、钱包、地址、助记词 - 知乎
https://zhuanlan.zhihu.com/p/33054223
区块链基础知识
区块链(Blockchain)是通过密码学链接,不断增长的记录链表
区块链的过程原理
区块链是一个数字化账本,由去中心化的计算机网络负责储存和维护。网络中的每个计算机(即:节点)都运行同样的软件,并维护、储存和验证同一个账本的副本。公链使用其原生资产(即加密资产)为节点提供经济激励,鼓励节点积极通信,最终就账本的有效性达成一致意见(即共识)。
用户提交交易,将价值从一个账户转移到另一个账户,以此对账本添加内容。用户的账户被称为公钥或公有地址(public address),每个公钥都有对应的私钥。公钥就像是电子邮箱地址,而私钥就像是密码,持公钥的人必须输入密码(注:这个密码也叫数字签名),才能从账户转账出去。
待执行的交易会被打包进“区块”中,然后网络中的每个节点都会对这些交易进行处理和验证。让所有节点都验证交易是为了确保帐本中的变更得到重复验证。钥中必须存放足够的资金并且数字签名必须正确无误,交易才能顺利执行。
一旦区块被确认,就会附加在不断扩大的分布式账本中。账本就是由一个个区块基于密码学连接而成的,因此被命名为“区块链”。节点提供服务会获得交易费或新创建的加密货币作为奖励,这也称为区块奖励。
区块链网络:网络中的节点之间如何连接及分布的
共识机制:协议、准则
激励机制:一个节点提供服务会获得交易费或新创建的加密货币作为奖励
智能合约
虚拟币分类(以下称虚拟币均为第三类)
第一类是大家熟悉的游戏币。在单机游戏时代,主角靠打倒敌人等方式积累货币,用这些购买游戏装备,但只能在自己的游戏机里使用。那时,玩家之间没有“市场”。自从互联网建立起门户和社区、实现游戏联网以来,虚拟货币便有了“金融市场”,玩家之间可以交易游戏币。
第二类是门户网站或者即时通讯工具服务商发行的专用货币,用于购买本网站内的服务。使用最广泛的当属腾讯公司的Q 币,可用来购买会员资格、QQ秀等增值服务。
第三类互联网上的虚拟货币,如比特币(BTC)、莱特货币(LTC)等。主要用于互联网金融投资也可以作为新式货币直接用于生活中使用。
常见虚拟币
BTC比特币、ETH以太坊、TRX波场、BNB币安币、OKT、HT火币、MATIC马蹄链、FIL 文件币、USDT泰达币、USDC
XX币:指网上各种非主流币
BitCoin 比特币【最知名、使用度广】
ETHEREUM 以太坊
USDT 泰达币【!!!桥梁!!!】:泰达币与美元的汇率为1:1,置换现实货币与虚拟货币
钱包(Wallet)
去中心化钱包:密钥掌握在用户手中使用(币安、0KX、火币等)中心化钱包:用户将密钥交由第三方来使用(imToken、TP钱包、小狐狸钱包、比特派钱包、麦子钱包等)
钱包地址查询
搜索区块链地址、交易哈希 | OKLink
https://www.oklink.com/zh-hans/multi-search
取证整体性思路
首先我们需要找到分析对象即数据源:目标钱包地址,这就涉及到对钱包地址的检索及虚拟货币交易相关APP、PC程序的取证技术
钱包地址主要来源于虚拟货币交易相关的APP 和PC 程序中,可对相关的手机钱包APP、交易所APP、PC 程序进行本地数据和云端数据的取证,如imtoken、比特派等钱包APP,火币、币安、OKEX等交易所APP,可提取到相关的充提币交易记录、登录IP 等信息。这里值得指出的是,虽然钱包地址的交易记录在链上都可查询,但针对中心化的交易所,虚拟货币的部分交易记录只记录在交易所内部,没有同步到公链,如交易所内部的买卖撮合订单等,在公链上查询不到,因此为保证取证数据的完整性,对虚拟货币交易相关APP、PC 程序的取证很有必要。
钱包地址可能来源于聊天软件的对话记录中,通常以字符串、单词组合(钱包地址的私钥)等形式出现,可借助于正则表达式对相关钱包地址进行检索。
钱包地址也可能以图片的方式保存在相册等媒体文件或PC 电脑上,可通过OCR识别技术识别钱包地址或密钥的相关图片,因此虚拟货币钱包地址的取证主要是针对相关检材的取证,包括交易APP、聊天记录、相册等。
拿到目标钱包地址后,需要对同链数据下载、数据清洗,实现目标钱包地址的交易记录、资金流向分析,涉及到钱包地址交易记录的分析技术
钱包地址具有匿名性,归属于中心化交易所的钱包地址才可以调证,因此涉及到钱包地址的归属性标签技术
扣押的虚拟货币如何存管与合规处置,涉及到虚拟货币的存管和合规处置技术。
题目解析
7.参考Alice_Mobile.bin,受骗女子欧凯被指示将虚拟货币转到哪个钱包地址? (答案格式: 大写英文字母, 小写英文字母及阿拉伯数字混合组成,例如: 0xDasdGJHI34twebGHJK2354YU34h) (2分)
0xdA9AE5b1bA2F404D0490dcd18a5C2247866FD148
20.你发现了该犯罪团伙似乎有一个共同的聊天群,其中包含有关可疑资本管理(与虚拟货币相关)的更多线索。 参考该聊天群组对话分析,John,David及Alice筹集资金的目的是什么? (1分)
B.建立一个网站用作行骗
通过阅读Whatsapp“三五成群”群聊的内容可以获知
因为很多是粤语的文字表达习惯,不太能看清楚,赛后尝试使用AI来对导出的聊天记录进行分析,也可以确定是建立一个网站来实施诈骗
21.参考該聊天群对话、David,Emma與Clara 的对话及IDFC的交易记录分析,哪一个虚拟货币地址储存John,David及Alice所筹集的IDFC? (3分)
A. 0xe90ad3f80e39e83b533eef3ed23c641ec51089c6
B. 0x04d079c7ace663bbe1d2c201072d63b036d16ccd
C. 0x10a4f01b80203591ccee76081a4489ae1cd1281c
D. 0x8155c0b8a0c95424f433d8ab6342086f0433e6c4
A
BD选项在交易记录中查询不到。C选项先是两笔转入共收到90000IDFC,后又转出90000IDFC。A选项只有转入
22.参考Alice_Mobile.bin,Alice 总共使用了多少个虚拟货币地址直接接收受害人的IDFC? (2分)
6
23.參考David_Laptop.e01內找到的IDFC交易记录,在收取受害人的IDFC后,它之后会再流向哪些虚拟货币地址? (2分)
A. 0xb2e3dbea311511ec5bda3e85e061f15366f888a6
B. 0x70544880875fe907cee383873ca58da23378caa5
C. 0x152c90200be61a540875f2a752c328bd19dbfb87
D. 0x59eb2c55eefdd4d8af2886c9fd8fc6f465c3e220
BCD
24.承上题,上述IDFC去到那些地址后,谁掌管这些IDFC? (提示:分析IDFC的交易记录及个人赛所搜集的证据) (2分)
A. Alice (回復種子:pumpkin fold behind captain shoulder demand print hospital like smoke gate weird)
B. Ben (回復種子:wrap muscle rhythm stamp bundle zebra gorilla shuffle common tattoo ginger awake)
C. John (回復種子:abandon among anxiety pizza evidence face quiz ripple nerve pact nasty unveil)
D. David (回復種子:stock avocado grab clay light sadness segment ancient toe talk elder oil)
D
25.2024年9月,Tom Victor带同其秘书Amy来到警署报案,称其秘书被骗子用人工智能视频在2024年8月29日早上骗去10,000,000 IDFC,请找出该交易的交易哈希(Transaction Hash) ? (2分)
0x04dcfbb681e125076c7f3c79ddee7e2b4859881ad031e90cf7fc251a4835792d
回到个人赛David_Laptop_64GB.e01中保存的IDFC交易记录
26.就現時搜集到的證據、David_Laptop_64GB.e01内的资料及IDFC的资金流分析,下列哪些虚擬货币地址是最終诈骗集团儲存犯罪所得的地址? (3分)
0x63a8ba1df0404ee41f7c6af8efd2f54006f32042
0x90f73497e4446f6cf9881213c32d6af66d799fe5
查询IDFC交易记录中的资金动向,找到没有出度的节点,即表中只在to出现的地址。下面这两个地址有转出记录
往期内容推荐