偽基站數(shù)據(jù)中電子取證應(yīng)用分析

曹敏

(山西警察學(xué)院，山西太原，030401)

0 引言

隨著科學(xué)技術(shù)的不斷創(chuàng)新和發(fā)展，為人們的生活和工作提供便捷，但同時(shí)為不法分子提供了可乘之機(jī)，很多不法分子會(huì)通過“偽基站”來實(shí)施非法廣告推銷、電信詐騙等違法活動(dòng)，給人們的通信安全帶來一定威脅，因此，針對(duì)該類情況要進(jìn)行嚴(yán)厲打擊，從而為人們的財(cái)產(chǎn)安全提供有效保障。

1 偽基站概念和工作原理分析

1.1 偽基站概念及特點(diǎn)分析

偽基站同時(shí)又被稱為假基站，通常由筆記本電腦和USRP主機(jī)共同構(gòu)成，主要利用短信發(fā)信機(jī)和短信群發(fā)器等有關(guān)設(shè)施，以設(shè)備位置為中心，獲取周邊一定范圍內(nèi)的手機(jī)卡信息。偽基站主要具有以下幾方面特點(diǎn)，通常不法分子會(huì)將偽基站有關(guān)設(shè)施放置到汽車當(dāng)中，并將其行駛到人群比較多的區(qū)域來進(jìn)行不良信息的發(fā)送，從而達(dá)到詐騙、非法廣告等目的，通常發(fā)送的短信主要以兩種類型為主，第一種屬于不定向群發(fā)短信類型，主要面對(duì)的人群比較多的區(qū)域，向一定范圍內(nèi)的手機(jī)發(fā)送短信，其中主要以詐騙信息為主，比如偽造公檢法、銀行等官方號(hào)碼等，第二種屬于定向型，具備攻擊性特點(diǎn)，違法人員主要會(huì)以某一個(gè)手機(jī)號(hào)當(dāng)做目標(biāo)來實(shí)施不良短信的輸送，通常會(huì)以該號(hào)碼主人同事、親戚、朋友的手機(jī)號(hào)來實(shí)施攻擊，從而實(shí)現(xiàn)定向詐騙的目的。由此可見，偽基站具有造作簡(jiǎn)單、成本低以及投入少的特點(diǎn)，并且查找難度大、機(jī)動(dòng)性強(qiáng)、隱蔽性強(qiáng)，大多數(shù)隱藏在流動(dòng)提包、流動(dòng)汽車以及出租房?jī)?nèi)。

1.2 微基站的工作原理分析

圖1 偽基站工作原理示意圖

偽基站在工作過程中主要設(shè)計(jì)以下幾部分，分別為遙控器、充電器、電池、天線、發(fā)射機(jī)，應(yīng)用的背包式偽基站主要以無線遙控的方式通過手機(jī)來實(shí)施控制，其內(nèi)部的主要工作原理如下，在移動(dòng)通訊過程中，其不同信令過程通過移動(dòng)信令檢測(cè)系統(tǒng)實(shí)施有效檢測(cè)，從而給對(duì)一定區(qū)域內(nèi)的手機(jī)用戶位置進(jìn)行有效覆蓋，如果用戶選擇的業(yè)務(wù)發(fā)送目標(biāo)區(qū)域和位置信息相同，則信令檢測(cè)檢測(cè)系統(tǒng)會(huì)對(duì)目標(biāo)檢測(cè)網(wǎng)絡(luò)的有關(guān)信令鏈路實(shí)施有效檢測(cè)。第一，偽基站在官博時(shí)會(huì)通過專用的廣播控制信道來實(shí)施，從而將相應(yīng)的系統(tǒng)信息發(fā)送到周邊用戶手機(jī)中，如果在偽基站位置區(qū)域內(nèi)有用戶手機(jī)的位置信息進(jìn)入，則依照相關(guān)要求和協(xié)議，會(huì)讓手機(jī)用戶將位置信息進(jìn)行更新。第二，當(dāng)位置更新請(qǐng)求信息傳輸?shù)絺位竞?，偽基站?huì)會(huì)通過識(shí)別身份方式來對(duì)手機(jī)用戶的IMIS信息進(jìn)行有效獲取，完成上報(bào)后會(huì)對(duì)位置實(shí)施有效更新，同時(shí)會(huì)以數(shù)據(jù)包的形式向手機(jī)傳輸信息，而手機(jī)用戶在確認(rèn)完成后會(huì)再次接收到新的信息，從而對(duì)位置實(shí)施更新。第三，整個(gè)過程實(shí)施時(shí)，用戶手機(jī)的原有位置號(hào)和IMIS會(huì)進(jìn)行保留，所以，當(dāng)再次將位置更新請(qǐng)求發(fā)送到手機(jī)式，會(huì)被進(jìn)行拒絕，從而不會(huì)出現(xiàn)數(shù)據(jù)包重復(fù)發(fā)送的情況。具體操作流程如下圖1所示。

2 偽基站數(shù)據(jù)的電子取證應(yīng)用分析

2.1 校準(zhǔn)偽基站設(shè)備系統(tǒng)時(shí)間與后臺(tái)數(shù)據(jù)提取

首先，在實(shí)施偽基站數(shù)據(jù)電子取證過程中，因?yàn)椴环ǚ肿訒?huì)通過租用的方式來應(yīng)用偽基站設(shè)備，或者以群體方式來實(shí)施違法犯罪，導(dǎo)致存在偽基站設(shè)施出現(xiàn)不同人員使用的現(xiàn)象，所以，對(duì)偽基站設(shè)備系統(tǒng)時(shí)間實(shí)施校準(zhǔn)，在面對(duì)不同不良分子所導(dǎo)致的用戶終端問題時(shí)，能夠?yàn)閰^(qū)分違法情況提供依據(jù)。其次，在對(duì)后臺(tái)數(shù)據(jù)“gsms”進(jìn)行提取時(shí)，要配置文件“config.php”實(shí)施有效檢查，在檢查時(shí)主要目標(biāo)為“/var/usr/openbts/Conf/”，而應(yīng)用的網(wǎng)站服務(wù)器主要以“mysql”為主，因此其數(shù)據(jù)庫的名稱為“gsms”，而數(shù)據(jù)庫主要以“root”為用戶名，應(yīng)用過程中主要用“nb250+38”為密碼，數(shù)據(jù)庫通過相應(yīng)的數(shù)據(jù)表來對(duì)偽基站的所發(fā)送的短信任務(wù)實(shí)施儲(chǔ)存，而相關(guān)的信息主要設(shè)計(jì)以下幾方面信息，分別為任務(wù)狀態(tài)、任務(wù)內(nèi)容、任務(wù)發(fā)送數(shù)量、任務(wù)創(chuàng)建時(shí)間、任務(wù)名稱、發(fā)送任務(wù)顯示的號(hào)碼。

2.2 檢驗(yàn)IMIS記錄

IMIS主要是指國(guó)際移動(dòng)用戶識(shí)別碼，全部信息在SIM中實(shí)施儲(chǔ)存，從而對(duì)不同移動(dòng)用戶實(shí)施有效區(qū)分，通常IMIS是由15個(gè)數(shù)字構(gòu)成，其中主要包括三部分，分別為用戶識(shí)別代碼、移動(dòng)代號(hào)以及網(wǎng)絡(luò)代碼和國(guó)家代碼。提取和統(tǒng)計(jì)如下圖2所示，在對(duì)IMIS記錄實(shí)施檢定和取證偽基站數(shù)據(jù)時(shí)，主要設(shè)計(jì)以下幾類文件，分別為TMIS.db、sysloy、OpenBTS.log、send.data以及桌面txt文件。第一，send.data和桌面txt文件屬于文本類型，在發(fā)送軟件在實(shí)施短信發(fā)送時(shí)，主要會(huì)出現(xiàn)兩組數(shù)據(jù)文件，第一組文本文件為業(yè)務(wù)名稱與業(yè)務(wù)id，主要在系統(tǒng)桌面中存在，主要涉及以4600為開頭的IMIS串號(hào)，而該文本文件能夠當(dāng)做判定偽基站IMIS數(shù)量的證據(jù)，第二個(gè)文本文件主要為send.data，涉及的內(nèi)容由倆各方面組成，一方面為目標(biāo)手機(jī)的IMIS號(hào)，另外一方面為任務(wù)發(fā)送的業(yè)務(wù)ID號(hào)，因此可以作為對(duì)目標(biāo)手機(jī)實(shí)施統(tǒng)計(jì)的依據(jù)。第二，TMIS.db為數(shù)據(jù)庫文件，該數(shù)據(jù)在應(yīng)用過程中主要用來對(duì)受影響手機(jī)數(shù)實(shí)施參考和統(tǒng)計(jì)。第三，sysloy和OpenBTS.log，主要是對(duì)相關(guān)的運(yùn)行日志即興記錄，其中主要包括目標(biāo)手機(jī)踢出、目標(biāo)手機(jī)發(fā)送以及接入目標(biāo)手機(jī)，因此可以當(dāng)做主要參考依據(jù)來對(duì)受影響的手機(jī)數(shù)實(shí)施統(tǒng)計(jì)。

圖2 提取及統(tǒng)計(jì)IMI號(hào)

3 偽基站數(shù)據(jù)中電子取證應(yīng)用案例分析

以重慶市公安局某區(qū)分局為例，該分局接到無線電監(jiān)測(cè)報(bào)告顯示出現(xiàn)公眾通信頻率被非法占用的信號(hào)，通過相關(guān)的調(diào)查，不法分子通過駕駛一臺(tái)裝有偽基站設(shè)備的車輛來進(jìn)行廣告發(fā)送，主要利用發(fā)射天線、筆記本電腦以及手機(jī)來進(jìn)行操作，從而獲取相應(yīng)的報(bào)酬，在進(jìn)行電子取證過程中，辦案民警與當(dāng)?shù)孛窬瑫r(shí)達(dá)到現(xiàn)場(chǎng)進(jìn)行確證，從而為破獲該案件搜集證據(jù)，依照該案例主要獲取以下幾點(diǎn)研究看法，第一，不法分子在利用偽基站實(shí)施作案時(shí)，主要以天線和主機(jī)為主，不會(huì)涉及相關(guān)的顯示器設(shè)備，所以，在實(shí)施相關(guān)數(shù)據(jù)取證過程中要自己配備相應(yīng)的電源適配器和顯示器。第二，不法分子利用偽基站實(shí)施實(shí)施作案時(shí)，其應(yīng)用的操作系統(tǒng)通常會(huì)安裝有一鍵刪除和一鍵恢復(fù)等功能，所以在實(shí)施取證過程中要及時(shí)進(jìn)行證據(jù)拍照和數(shù)據(jù)備份，避免相關(guān)電子數(shù)據(jù)和信息被損毀。第三，要高度重視與案件有關(guān)的已刪除文件和隱藏文件，這類文件如何正確對(duì)待，通常會(huì)從中獲取一定的數(shù)據(jù)信息，因此在獲取該類數(shù)據(jù)信息時(shí)要進(jìn)行有效保存。最后，要積極提升電子取證的技術(shù)水平，從而將可獲取的數(shù)據(jù)有效轉(zhuǎn)化為電子證據(jù)，從而為相關(guān)案件的破獲提供幫助。