◆洪道友 楊仕海 翟振興

“偽基站”電子數(shù)據(jù)取證實戰(zhàn)分析

◆洪道友 楊仕海 翟振興

（重慶市公安局江北區(qū)分局 重慶 400021）

近年來，不法分子利用“偽基站”實施違法犯罪活動日趨頻繁。利用“偽基站”發(fā)布非法廣告、實施電信詐騙等違法犯罪活動，不僅損害公民個人利益，而且嚴重擾亂國家通訊秩序，必須嚴厲打擊。本文介紹了“偽基站”的工作原理，結(jié)合實際案例描述“偽基站”電子數(shù)據(jù)取證的相關(guān)過程,重點介紹“偽基站”通信日志、軟件數(shù)據(jù)庫及相關(guān)文檔的提取方法，并總結(jié)“偽基站”取證的個人經(jīng)驗。

電子數(shù)據(jù)取證；“偽基站”；實戰(zhàn)分析

0 前言

近年來，不法分子利用“偽基站”，或冒用公眾服務(wù)號碼進行電信詐騙、或強制推銷非法廣告等違法犯罪活動。該類案件的發(fā)生危害到通訊安全，同時威脅到人民財產(chǎn)安全，必須嚴厲打擊。2014年以來，公安部等九部委開展整治專項活動，嚴厲打擊利用“偽基站”實施各類違法活動[1]。

1 “偽基站”概述

1.1 “偽基站”概念

“偽基站”即假基站，其設(shè)備一般由USRP主機和筆記本電腦組成，通過短信群發(fā)器、短信發(fā)信機等相關(guān)設(shè)備能夠搜索以其為中心、一定半徑范圍內(nèi)的手機卡信息。利用2G移動通信的缺陷，通過偽裝成運營商的基站，冒用他人號碼強行向用戶手機發(fā)送詐騙、廣告推銷等短信息。

1.2 “偽基站”特點

犯罪嫌疑人一般將“偽基站”設(shè)備放置車內(nèi)，在人流密集區(qū)域群發(fā)非法短信，達到推銷非法廣告或者詐騙等目的。短信內(nèi)容大致分兩類:第一類“不定向群發(fā)”型，即選擇人流密集區(qū)，向“偽基站”覆蓋范圍內(nèi)的所有手機群發(fā)送短信，短信內(nèi)容大多偽造銀行、公檢法官方號碼發(fā)送詐騙信息；第二類是“定向攻擊型”，即不法分子找出某個手機號作定向攻擊，通常以該號碼的名義向其親朋好友、同事等關(guān)系網(wǎng)定向發(fā)送短信，實施指向性詐騙。不法分子往往掌握該手機號關(guān)聯(lián)的相關(guān)個人信息，因此實施起來更具迷惑性，受害人更容易上當受騙。

利用“偽基站”實施作案有兩個突出特點:1、投入少，成本低，操作簡易。購買偽基站配件或者整套設(shè)備成本低，并且容易上手。低廉的犯罪成本卻帶來客觀的經(jīng)濟利益。2、隱蔽性、機動性強，查處難度大?！皞位尽币话汶[藏在出租房、流動汽車或者流動提包，不易發(fā)現(xiàn)[2]。

1.3 “偽基站”工作原理

圖1 “偽基站”工作原理示意圖

“偽基站”的工作原理就是利用GSM 網(wǎng)絡(luò)規(guī)范先天不足，其采用單向鑒權(quán)認證，即手機不鑒權(quán)網(wǎng)絡(luò)的合法性，僅在網(wǎng)絡(luò)側(cè)對手機進行鑒權(quán)，導致手機無法有效辨別移動基站的真?zhèn)?。不法分子利用手機在GSM 移動狀態(tài)下的自主選擇算法，“誘使”手機選擇至他的小區(qū)中，甚至采用大功率的無線信號發(fā)射手段，強迫用戶終端（手機）在“偽基站”中進行登記，從而獲得用戶的信息，如IMSI、手機號碼和IMEI 等，不法分子進而利用“偽基站”惡意發(fā)送垃圾廣告短信。圖1 為“偽基站”工作原理示意圖[3]。

1.4 “偽基站”系統(tǒng)原理

常見的“偽基站”運行的操作系統(tǒng)是Ubuntu，運行的web系統(tǒng)是OpenBTS，數(shù)據(jù)庫為Mysql，Web服務(wù)器為Apache，“偽基站”基本架構(gòu)包含:發(fā)信軟件，Openbts，GNU Radio，USRP和功放天線。

組成結(jié)構(gòu)如圖2所示。

圖2 “偽基站”組成結(jié)構(gòu)

(1)USRP（Universal Software Radio Peripheral，通用軟件無線電外設(shè)）旨在使普通計算機能像高帶寬的軟件無線電設(shè)備一樣工作。從本質(zhì)上講，它充當了一個無線電通訊系統(tǒng)的數(shù)字基帶和中頻部分。

(2)GNU Radio是完全開源的軟件無線電結(jié)構(gòu)平臺，它可以用來設(shè)計和仿真，也可以用來連接真實的無線電系統(tǒng)。

(3)OpenBTS（Open Base Transceiver Station），基站。

(4)GSMS，短信發(fā)送軟件。用戶通過該軟件操作面板的“添加”、“刪除”、“暫?！薄ⅰ伴_始發(fā)送”等按鈕進行短信業(yè)務(wù)的添加、刪除、暫停和發(fā)送。

(5)Apache，網(wǎng)絡(luò)服務(wù)器?！皞位尽蓖ǔ＝ㄒ粋€網(wǎng)絡(luò)服務(wù)器，選擇某種數(shù)據(jù)庫（通常為mysql）。服務(wù)器在運行過程中將相關(guān)數(shù)據(jù)保存至數(shù)據(jù)庫中。

2 “偽基站”取證過程

2.1 校準“偽基站”設(shè)備系統(tǒng)時間

由于犯罪嫌疑人可能采用租用“偽基站”設(shè)備，或者多人團伙作案等犯罪方式，造成“偽基站”設(shè)備存在多個使用者的情況。因此，校準“偽基站”設(shè)備系統(tǒng)時間，對于區(qū)分是否是由不同犯罪嫌疑人造成的用戶中斷至關(guān)重要。

2.2 提取后臺數(shù)據(jù)庫“gsms”

檢查配置文件“config.php”，該文件通常位于目錄“varusropenbtsConf”下，文件信息詳見圖3。網(wǎng)站服務(wù)器使用的數(shù)據(jù)庫類型為“mysql”，數(shù)據(jù)庫名為“gsms”，數(shù)據(jù)庫用戶名為“root”，用戶密碼為“nb250+38”。

數(shù)據(jù)庫“gsms”有1個數(shù)據(jù)表“gsm_business”，該表存儲“偽基站”短信發(fā)送任務(wù)的詳細內(nèi)容。gsm_business表存儲的每條發(fā)送任務(wù)包含如下信息:發(fā)送任務(wù)id，發(fā)送任務(wù)時顯示號碼，任務(wù)名稱，創(chuàng)建任務(wù)時間，發(fā)送數(shù)量，實際發(fā)送任務(wù)的數(shù)量，任務(wù)內(nèi)容和任務(wù)狀態(tài)。

圖3 “config.php”配置文件內(nèi)容

可使用命令“mysqldump -uroot -p gsms > gsms_backup.sql；”備份數(shù)據(jù)庫。數(shù)據(jù)庫備份后，可通過十六進制編輯器和SQLite查看器來檢查數(shù)據(jù)庫相關(guān)內(nèi)容。

2.3 IMSI記錄的檢驗

IMSI，國際移動用戶識別碼，儲存在SIM卡中，是區(qū)分移動用戶的一組唯一標識。IMSI由15位數(shù)字組成，包括國家代碼（MCC，中國代號460）、網(wǎng)絡(luò)代碼（MNC，移動代號00/02，聯(lián)通代碼01）和 用戶識別代碼（MSIN）三部分。

在“偽基站”取證中與鑒定IMSI記錄相關(guān)的數(shù)據(jù)主要包括:桌面txt文件、send.data、OpenBTS.log、syslog和TMSI.db。上述五類文件的相關(guān)情況詳見表1。

表1 與鑒定IMSI記錄相關(guān)文件

(1)文本類型:桌面txt文檔，send.data

分析“varusropenbtsLibActionBusinessAction.class.php”的運行代碼（詳見圖4），GSMS短信發(fā)送軟件在運行過程中，產(chǎn)生兩組發(fā)送任務(wù)的數(shù)據(jù)文件。一組是位于系統(tǒng)桌面以“業(yè)務(wù)名稱_業(yè)務(wù)id”命名的文本文件，文件內(nèi)容包含多條4600 開頭的15 位IMSI 串號。該文件作為“偽基站”IMSI的數(shù)量判定的重要依據(jù)。另外一組則位于“var/usr/openbts”目錄下的“send.data”。文件內(nèi)容的每一行為由發(fā)送任務(wù)的業(yè)務(wù)ID和目標手機的IMSI號組成。該文件作為統(tǒng)計目標手機的參考。

圖4 BusinessAction.class.ph中的getsentcount函數(shù)

(2)數(shù)據(jù)庫文件:TMSI.db

TMSI.db包括數(shù)據(jù)表TMSI_TABLESMS和SMS_SENT。TMSI_TABLESMS表記錄IMSI及TMSI的對應關(guān)系。SMS_SENT記錄發(fā)送次數(shù)，可能為空。該數(shù)據(jù)庫TMSI.db一般只作為統(tǒng)計受影響手機數(shù)的參考。

(3)日志文件:OpenBTS.log和syslog

OpenBTS.log，詳細記錄了OpenBTS的運行日志，包括目標手機的接入、發(fā)送至目標手機及踢出目標手機等一系列操作日志。該文件可以作為統(tǒng)計受影響手機數(shù)的重要依據(jù)。syslog文件的提取方式與OpenBTS.log相同。下面以O(shè)penBTS.log為例，重點介紹對該日志文件進行提取和分析的過程。

使用命令“cat Openbts.log |grep id = IMSI=4600”，以“IMSI=4600”作為關(guān)鍵字搜索IMSI相關(guān)數(shù)據(jù)記錄（詳見圖5），該數(shù)據(jù)作為目標手機的數(shù)量?？墒褂妹睢癱at Openbts.log |grep id = IMSI=4600 |wc -l”，統(tǒng)計IMSI數(shù)量（未去重）。

圖5 提取及統(tǒng)計IMSI號

使用命令“Cat Openbts.log |grep ‘a(chǎn)ddsms’”，提取發(fā)送短信任務(wù)的記錄，如圖6所示。可使用命令“cat Openbts.log |grep id = IMSI=addsms |wc -l”，統(tǒng)計發(fā)送短信業(yè)務(wù)數(shù)。

圖6 提取短信內(nèi)容

短信內(nèi)容為二進制，需要對其進行轉(zhuǎn)化為Unicode。轉(zhuǎn)化方法:以python語言編制腳本代碼，將2進制轉(zhuǎn)為16進制（代碼如圖7所示），并將16進制轉(zhuǎn)Unicode（代碼如圖8所示），轉(zhuǎn)化后顯示結(jié)果如圖9所示。

圖7 將二進制轉(zhuǎn)化為16進制的代碼

圖8 將16進制轉(zhuǎn)化為unicode的代碼

圖9 短信內(nèi)容轉(zhuǎn)化后顯示結(jié)果

3 案列與經(jīng)驗2016年6月22日，我局接到市無線電監(jiān)測站報告:轄區(qū)有人非法占用公眾通信頻率。經(jīng)偵查發(fā)現(xiàn):吳某駕駛一輛銀色中華轎車，并在車上利用手機、筆記本電腦、發(fā)射天線組建“偽基站”，流竄于成都、重慶兩地發(fā)送廣告信息牟利。在本案中，電子取證民警隨辦案民警一同到達現(xiàn)場，及時開展現(xiàn)場取證。電子證據(jù)的成功獲取為案件的順利偵破提供了關(guān)鍵證據(jù)。通過本案列，在取證過程中總結(jié)出以下幾個注意細節(jié):

(1)“偽基站”作案，通常情況下只有主機和天線，沒有顯示器。因此在取證過程中自備顯示器和電源適配器。

(2)“偽基站”作案，其操作系統(tǒng)往往帶有一鍵恢復、一鍵刪除等功能。因此，在現(xiàn)場取證過程中，應對現(xiàn)場原始證據(jù)的拍照、備份等，防止相關(guān)信息和電子數(shù)據(jù)的滅失。

(3)提取與案件相關(guān)的隱藏文檔和已刪除文檔，往往這兩類文檔也可能提供破案線索。因此，在取證過程中注意并重視這類文檔，確保重要證據(jù)不遺漏。

(4)不斷提高技術(shù)水平，提升檢驗鑒定能力，確保檢驗的數(shù)據(jù)能有效轉(zhuǎn)化為關(guān)鍵電子證據(jù)。同時在電子取證過程中確保數(shù)據(jù)在獲取、存儲、使用過程中保證完整性。

4 結(jié)束語

筆者結(jié)合“偽基站”取證案例，介紹了“偽基站”的相關(guān)概念及其工作原理，重點陳述“偽基站”通信日志、軟件數(shù)據(jù)庫及相關(guān)文檔的提取方法，具有較好實用價值。隨著“偽基站”反取證技術(shù)的不斷變化，必將對現(xiàn)有的電子證據(jù)取證方法提出更高的要求。這也將是筆者下一步研究重點。

[1]最高人民法院，最高人民檢察院，公安部等.關(guān)于依法辦理非法生產(chǎn)銷售使用“偽基站”設(shè)備案件的意見.公通字（2014）13號文件.

[2]李璐，戴芬，劉洪偉，崔媛媛，李璐.“偽基站”案件電子數(shù)據(jù)取證實戰(zhàn)探索.電信網(wǎng)技術(shù)，2016.

[3]馬俊，劉燕.淺析“偽基站”原理及查找方法，監(jiān)測檢測，2015.