DB15_T 3472—2024 虚拟货币“挖矿”鉴定技术指南.docx

ICS03.100.01CCSA00DB15内蒙古自治区地方标准DB15/T347224)24盘拟货币“挖矿”鉴定技术指南Virtua1.currency,mining,identificationtechnica1.guide2024-06-14发布2024-07-14实施内陵古自治区市场监督管理局发布本文件按照GBJT1.12020标准化工作导JM第1部分:标准化文件的结构和起第规则的规定起草.本文件由内蒙占自治区发盛和改革委员会提出并归口.本文件起草单位：国家计。机网络与信息安全管理中心内蒙古分中心、内蒙古自治区发屁和改革委员会.内蒙古自治区大数据中心.本文件主要起草人：柳海军、汪士钦、杨晚东、庞ft.畅住柚、王艳、郭旭龙、乌宁、张安强.张蕾.张建军、石彦龙、把连伟*冏佳城、李欢.虚拟货币“挖矿”鉴定技术指南1范B1.本文件规定了虚拟货币“挖矿”鉴定实施流程,提出线索分析、现场检查、“挖矿”信息关联分析等环节的技术指南.本文件适用于内蒙古自治区行政区域内利用计算机相关设备开展涉及虚拟货币“挖矿”的活动.2JR范性引用文件本文件没有规能性引用文件.3和8和定义GB,'T42570.GBjT42572、IS022739界定的以及下列术语和定义适用于本文件.3.1区块链b1.ockchain使用密码技术锥接将共识确认过的区块按顺序追加形成的分布式帐本.3.2节点node具有特定功能的可独立运行的区块链组件。33手机miningmachine从货虚拟货币“挖矿”活动的计算机及相关设备，3.4虚拟货币“挖矿"活动Virdia1.currencyminingactivities通过“矿机”计算生产虚拟货币的过程.3.5矿工Biner用于虚拟货币“挖矿"活动的分布式记账技术(DiSIribUIed1.CdKerTeChnOIoKy)节点。来源：ISO22739:2O24O,3.48|3.6I)BI534722024矿池iningPoO多个矿工通过网络，共享计算能力的资源池，3.7钱包IBIIet用于生成、管理、存谛或使用私钥和公钥的应用程序。来淑：ISO22739:20240.3.8414下列缩略语适用于本文件”CF1.:微处理器(CentraIProcessingIhit)GPU:图形处理器(GraPhiCSProcessingUnit)ASIC:应用特定集成电路(APP1.iCatiOn-SPeCifiCIntegratedCircuit)CDN:内容分发网络(COnICnIDe1.iver)-Ne1.wwrk)卜PGA:现场可嫔程门阵列(FiddProgrammab1.eGateArray)5 *U货市田.分类5.1 CPU“挖矿”：指使用计算机CPU进行虚拟货币“挖矿”.5.2 GPU“桧矿”：指使用显卡进行虚拟优币“挖矿”.5.3 ASIC“挖旷”：指使用专门为“挖矿”设计的硬件芯片，即“应用特定集成电路”，来诳行虚拟货币“挖矿”.5.4 硬盘存他“挖矿”：指文件币(Fi辰Hn)开创的一种“论矿”模式,抓仃忧!盘存精空间即可“挖矿”。5.5 CDN“挖矿”：指通过提供网络边缘计算资源，利用网络传输带宽进行“挖矿”,5.6 FPGA“挖矿”：指使用PPGA芯片进行加密货币“挖矿”.FPGA芯片可通过编程实现对“挖矿”不法的定制化处理.继而进行虚拟货币“挖犷”.5.7 云“挖矿”：指使用第三方的计算机资源来进行“挖旷”，而不是使用“挖矿”者自己的计算机资源.6 Jt姒黄市矿M整定实流程6.1 虚拟货币.挖矿”鉴定实施流程图虚拟货币“挖矿”稔定实施流程图如图I所示。.Hrmi*nwfZTf%明及。wFMia4<10153Xamw1*mm>MtI1.IX1.tWWtrCC!M-ny-f1.««>MfAfettmtrmQif-W吨.A.<>11Utfs*<<!Xtteu!ttfrter*钟物Itrw判t。MGMf1.I在用功mKrftHk31,*OtttVftMO.MMSMRYE*休UMiH1.M3unwyf!<*.ASXaiMKttARf1.tt3"HXW11»FWWGbtW1.WH5MWWf1.1.k<4H4"AW.aC«'tfX>-ttft-ftV-.4W>TSVi.BWXIut皿RCNMWVAHmA<t<¾WH>3tM-tty-fM<1.5K国rn宗cqfM>trHHWM>f<Wf1.tK，。.入斗CtrriVXWiMRh<pt*t.KHUV.Wft,mW.HHM1.MMitWWMI.0!“力fmSKr*“星雪rMif*g«a”*IX-R，J一二二一:一rt<X4UW.AttH1M!AXH.MUW2UJ晚RVKH，人MKHW¾-WI1Ki1.HWk!<必4bMC!»T<CrftH)te2HK1U5Fhief1.a;*,1iwtidjymwn!ttiftI½<ttUMtn.XODM如球HAAIP1.t1.X，.TiCSt.内存4Ha09>C4CWMZIMtPg'行为i1.mXWE1.1.*t*.ttK<*.Wti1.nWm整6g*t.丘y*冏此k<m<.敦件十坨>WMC£4k>.«.«KM/1.AWi1.-tty-川取h小rwmw,«4图朝货币.挖矿”鳌定实*流程图6.2 M分析6.2.1 Ift涌发现的好黄市"ftT"IMt分析9例对IP地址、IP地址疑似物理位置和使用总位、矿池IP及渊门、矿工端"及时间点案例、币种、软件型号、提交次数等信息进行媒合分析，研判信息真实性,若核实后确定存在或疑似存在“挖矿”行为，则开展帷杳前准在工作，确定现场检农地戊、范用、方式及团队等；若核实后不存在“挖矿”行为，则出具研判报告，反馈研判结果.a2.2-三方J1.务提供的虎姒黄币-er,线索分析研判对参与“挖矿”的用户身份伯息、“挖矿”收益估恩、矿机IP及其所刷物理位置佑息、“挖矿”时间等信息进行踪令分析,研判信息真实性.若核实后确定存在或疑似存在“挖矿”行为,则开展检查附准法工作，确定现场检查地点、范困、方式及团队等；若核实后不存在“挖矿”行为，则出具研利报告，反馈研判结果。6.2.3 受理的黄市厅.侑访拳报线*分析研判对举报线索的真实性、“挖矿”主体、“核矿”物理位祝、“挖矿”方式、“挖矿”时间、币种、软件型号等信息进行综合分析研判.若核实后确定存在或疑似存在“挖守”行为，则开展检查前准名工作.确定现场检查地点、范围、方式及团队等：着核实后不存在“挖矿”行为，则出具研判报告，反馈研判结果。6.2.4 电力能M*R异常的主体线索分析研判对主体用电姑数据与同期、近期用电At数据进行综合分析研判，若严也与正常用电量不符，则列为疑似存在“挖矿”行为，开展松查前准备工作，确定现场检查地点、范ff1.、方式及团队等：柠与正常加电豉基本相符.则出具研判报告,反馈研判结果.6.36.3.1 毗则货币.挖了“*鲁外观分析例依据本文件提出的虚拟货币“挖矿”种类，从外观查看（主要看设备型号）是否为专业虚拟货币“挖矿”设得.其中，常见的GPU“挖矿”设备大多数为无品牌的白光机,内部装有多张显卡,也有部分新家在白光机基础上贴牌,GPV“挖矿”主要使用显卡，较从事大型GPU“挖矿”活动的主体将其伪装成服务”常见的云“挖矿”可基于ASIar机、GPU1.r机、CDN矿机等设备.只是所有权与使用方式不同.公”挖矿”模式主要分为托管“挖矿”、虚拟托管“挖矿”和租用算力三种，因此对于此类“挖矿”行为可通过检查涉事计并机及相关设备是否包含常用“挖矿”软件等方式进行研判，虚拟货币“挖丁”常见设备详见附录A中的表A.6.3.2 Jog拟货市-r主体的计克机及相关设备检充笠录疑似存在“挖矿”行为的通用设备，搜索安装的软件是否包含常用“挖矿”软件,若存在虚拟货而“挖矿”软件,则进一步定位“挖矿”软件安装目录分析其配置文件,提取其中的矿池域名、IP.端1,“挖矿”账户地址、矿机标识等信息并留存上述信息，注：常见蚂以货币“找矿"软件有CGMiner、BFGMin«、EayMiner.PIwenixMinerCbynwresDua1.EthereuiiMbw»XMRig.Bitnuin.InncisiIiconMiner.CanaanCrcatiw.CucioMiner.NiccHashMiner"?.6.3.3 IgU稣谶币-ffir设的HMd删对流经核心交换的部分网络流fit进行检测.检测内容包含：获取“检矿”任务、尝试“挖矿”、“挖矿”成功、虚拟货币交易等内容并序存上述信息.对疑似虚拟货币“挖矿”设备系统进行检测.主要使用系统的搜索功能.搜索eth、btc等附录A中的关键字，当发现文件中出现涉及虚拟货币“校炉”的关键字时，杳石文件中是否存在虚拟货币“挖矿“脚本，通过脚本中记录的内容,提取其中记录的矿池地址、钱包地址、犷工名称等信息并形成记录。在网络流业检测结果中，苦设备存在矿池½,钱包地址、矿工名称等信息，则确定该疑似虚拟货币-矿”设备存在虚拟货币挖矿”行为；若设备不存在上述信息，则未检出虚拟货币“挖矿”行为.由于国内网络的限制,“挖矿”设备大多会配置代理地址或者转发地址,这些地址最终会连接对应币种的矿池地址，通过对涉小设备网络流吊追溯分析，如发现涉产设在与矿池地址存在交互行为，则可判定相关设箸存在“挖矿”行为。虚拟货币“挖矿”矿池地址及点口见附录R中的表A.2和表R.3判斯云端服务是否属于矿池或者犷池代理,可利用矿池扫描探测软件,识别访问的远程IP、端口是否属干矿池或矿池代理服务,加墀于矿池或矿池代理眼务.则进一步分析该服务的“论矿”而种信息.6.4 Mftr"通过对疑似虚拟货币“挖矿”线索、设徐信息和外观、网络流盘、软件等综合分析研判掌握的信息进行关联,研判崩于主动“挖矿”还是被动“挖矿”.同时，出具研判报告，反馈研判结果.-ftr"常见设备加丁治地址及口本文件所指虚拟优币“挖旷”常见设备可参考表A.1,IK拟货币“挖矿”矿池地址及端口可参考在A.2和&A.3.*a.iAMftm-»r"常见设备跳计41序号谀招类型常见设备CPU“构矿,谀备以太坊CP1.矿机等2GPU“挖矿”设台小牛矿机(Ca1.fMiner、玛雁矿机、极河矿机、械SHf机。洲iner).丁见矿机.闪电。机.除斯/机(PandaMiner).映泰矿机(Mner).做Wo1.SDtr机.划蚁矿机(AntMiner)、闪电比制金显卡矿机、彼进坦卡丁机、舌的矿机，富蜂Ir机等3AS1.C“挖矿”设备蚂蚁矿机(AntNiner)、芯动(InnDSiIiCon)矿机、阿瓦窿丁机(AVa1.OnMiner)>神马矿机(WhatSMiner).巩比特矿机(Ebi