• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      “偽基站”電子數(shù)據(jù)取證實(shí)戰(zhàn)分析

      2017-03-14 02:24:29洪道友楊仕海翟振興
      關(guān)鍵詞:代碼短信文檔

      ◆洪道友 楊仕海 翟振興

      “偽基站”電子數(shù)據(jù)取證實(shí)戰(zhàn)分析

      ◆洪道友 楊仕海 翟振興

      (重慶市公安局江北區(qū)分局 重慶 400021)

      近年來,不法分子利用“偽基站”實(shí)施違法犯罪活動日趨頻繁。利用“偽基站”發(fā)布非法廣告、實(shí)施電信詐騙等違法犯罪活動,不僅損害公民個(gè)人利益,而且嚴(yán)重?cái)_亂國家通訊秩序,必須嚴(yán)厲打擊。本文介紹了“偽基站”的工作原理,結(jié)合實(shí)際案例描述“偽基站”電子數(shù)據(jù)取證的相關(guān)過程,重點(diǎn)介紹“偽基站”通信日志、軟件數(shù)據(jù)庫及相關(guān)文檔的提取方法,并總結(jié)“偽基站”取證的個(gè)人經(jīng)驗(yàn)。

      電子數(shù)據(jù)取證;“偽基站”;實(shí)戰(zhàn)分析

      0 前言

      近年來,不法分子利用“偽基站”,或冒用公眾服務(wù)號碼進(jìn)行電信詐騙、或強(qiáng)制推銷非法廣告等違法犯罪活動。該類案件的發(fā)生危害到通訊安全,同時(shí)威脅到人民財(cái)產(chǎn)安全,必須嚴(yán)厲打擊。2014年以來,公安部等九部委開展整治專項(xiàng)活動,嚴(yán)厲打擊利用“偽基站”實(shí)施各類違法活動[1]。

      1 “偽基站”概述

      1.1 “偽基站”概念

      “偽基站”即假基站,其設(shè)備一般由USRP主機(jī)和筆記本電腦組成,通過短信群發(fā)器、短信發(fā)信機(jī)等相關(guān)設(shè)備能夠搜索以其為中心、一定半徑范圍內(nèi)的手機(jī)卡信息。利用2G移動通信的缺陷,通過偽裝成運(yùn)營商的基站,冒用他人號碼強(qiáng)行向用戶手機(jī)發(fā)送詐騙、廣告推銷等短信息。

      1.2 “偽基站”特點(diǎn)

      犯罪嫌疑人一般將“偽基站”設(shè)備放置車內(nèi),在人流密集區(qū)域群發(fā)非法短信,達(dá)到推銷非法廣告或者詐騙等目的。短信內(nèi)容大致分兩類:第一類“不定向群發(fā)”型,即選擇人流密集區(qū),向“偽基站”覆蓋范圍內(nèi)的所有手機(jī)群發(fā)送短信,短信內(nèi)容大多偽造銀行、公檢法官方號碼發(fā)送詐騙信息;第二類是“定向攻擊型”,即不法分子找出某個(gè)手機(jī)號作定向攻擊,通常以該號碼的名義向其親朋好友、同事等關(guān)系網(wǎng)定向發(fā)送短信,實(shí)施指向性詐騙。不法分子往往掌握該手機(jī)號關(guān)聯(lián)的相關(guān)個(gè)人信息,因此實(shí)施起來更具迷惑性,受害人更容易上當(dāng)受騙。

      利用“偽基站”實(shí)施作案有兩個(gè)突出特點(diǎn):1、投入少,成本低,操作簡易。購買偽基站配件或者整套設(shè)備成本低,并且容易上手。低廉的犯罪成本卻帶來客觀的經(jīng)濟(jì)利益。2、隱蔽性、機(jī)動性強(qiáng),查處難度大。“偽基站”一般隱藏在出租房、流動汽車或者流動提包,不易發(fā)現(xiàn)[2]。

      1.3 “偽基站”工作原理

      圖1 “偽基站”工作原理示意圖

      “偽基站”的工作原理就是利用GSM 網(wǎng)絡(luò)規(guī)范先天不足,其采用單向鑒權(quán)認(rèn)證,即手機(jī)不鑒權(quán)網(wǎng)絡(luò)的合法性,僅在網(wǎng)絡(luò)側(cè)對手機(jī)進(jìn)行鑒權(quán),導(dǎo)致手機(jī)無法有效辨別移動基站的真?zhèn)?。不法分子利用手機(jī)在GSM 移動狀態(tài)下的自主選擇算法,“誘使”手機(jī)選擇至他的小區(qū)中,甚至采用大功率的無線信號發(fā)射手段,強(qiáng)迫用戶終端(手機(jī))在“偽基站”中進(jìn)行登記,從而獲得用戶的信息,如IMSI、手機(jī)號碼和IMEI 等,不法分子進(jìn)而利用“偽基站”惡意發(fā)送垃圾廣告短信。圖1 為“偽基站”工作原理示意圖[3]。

      1.4 “偽基站”系統(tǒng)原理

      常見的“偽基站”運(yùn)行的操作系統(tǒng)是Ubuntu,運(yùn)行的web系統(tǒng)是OpenBTS,數(shù)據(jù)庫為Mysql,Web服務(wù)器為Apache,“偽基站”基本架構(gòu)包含:發(fā)信軟件,Openbts,GNU Radio,USRP和功放天線。

      組成結(jié)構(gòu)如圖2所示。

      圖2 “偽基站”組成結(jié)構(gòu)

      (1)USRP(Universal Software Radio Peripheral,通用軟件無線電外設(shè))旨在使普通計(jì)算機(jī)能像高帶寬的軟件無線電設(shè)備一樣工作。從本質(zhì)上講,它充當(dāng)了一個(gè)無線電通訊系統(tǒng)的數(shù)字基帶和中頻部分。

      (2)GNU Radio是完全開源的軟件無線電結(jié)構(gòu)平臺,它可以用來設(shè)計(jì)和仿真,也可以用來連接真實(shí)的無線電系統(tǒng)。

      (3)OpenBTS(Open Base Transceiver Station),基站。

      (4)GSMS,短信發(fā)送軟件。用戶通過該軟件操作面板的“添加”、“刪除”、“暫?!?、“開始發(fā)送”等按鈕進(jìn)行短信業(yè)務(wù)的添加、刪除、暫停和發(fā)送。

      (5)Apache,網(wǎng)絡(luò)服務(wù)器。“偽基站”通常建一個(gè)網(wǎng)絡(luò)服務(wù)器,選擇某種數(shù)據(jù)庫(通常為mysql)。服務(wù)器在運(yùn)行過程中將相關(guān)數(shù)據(jù)保存至數(shù)據(jù)庫中。

      2 “偽基站”取證過程

      2.1 校準(zhǔn)“偽基站”設(shè)備系統(tǒng)時(shí)間

      由于犯罪嫌疑人可能采用租用“偽基站”設(shè)備,或者多人團(tuán)伙作案等犯罪方式,造成“偽基站”設(shè)備存在多個(gè)使用者的情況。因此,校準(zhǔn)“偽基站”設(shè)備系統(tǒng)時(shí)間,對于區(qū)分是否是由不同犯罪嫌疑人造成的用戶中斷至關(guān)重要。

      2.2 提取后臺數(shù)據(jù)庫“gsms”

      檢查配置文件“config.php”,該文件通常位于目錄“varusropenbtsConf”下,文件信息詳見圖3。網(wǎng)站服務(wù)器使用的數(shù)據(jù)庫類型為“mysql”,數(shù)據(jù)庫名為“gsms”,數(shù)據(jù)庫用戶名為“root”,用戶密碼為“nb250+38”。

      數(shù)據(jù)庫“gsms”有1個(gè)數(shù)據(jù)表“gsm_business”,該表存儲“偽基站”短信發(fā)送任務(wù)的詳細(xì)內(nèi)容。gsm_business表存儲的每條發(fā)送任務(wù)包含如下信息:發(fā)送任務(wù)id,發(fā)送任務(wù)時(shí)顯示號碼,任務(wù)名稱,創(chuàng)建任務(wù)時(shí)間,發(fā)送數(shù)量,實(shí)際發(fā)送任務(wù)的數(shù)量,任務(wù)內(nèi)容和任務(wù)狀態(tài)。

      圖3 “config.php”配置文件內(nèi)容

      可使用命令“mysqldump -uroot -p gsms > gsms_backup.sql;”備份數(shù)據(jù)庫。數(shù)據(jù)庫備份后,可通過十六進(jìn)制編輯器和SQLite查看器來檢查數(shù)據(jù)庫相關(guān)內(nèi)容。

      2.3 IMSI記錄的檢驗(yàn)

      IMSI,國際移動用戶識別碼,儲存在SIM卡中,是區(qū)分移動用戶的一組唯一標(biāo)識。IMSI由15位數(shù)字組成,包括國家代碼(MCC,中國代號460)、網(wǎng)絡(luò)代碼(MNC,移動代號00/02,聯(lián)通代碼01)和 用戶識別代碼(MSIN)三部分。

      在“偽基站”取證中與鑒定IMSI記錄相關(guān)的數(shù)據(jù)主要包括:桌面txt文件、send.data、OpenBTS.log、syslog和TMSI.db。上述五類文件的相關(guān)情況詳見表1。

      表1 與鑒定IMSI記錄相關(guān)文件

      (1)文本類型:桌面txt文檔,send.data

      分析“varusropenbtsLibActionBusinessAction.class.php”的運(yùn)行代碼(詳見圖4),GSMS短信發(fā)送軟件在運(yùn)行過程中,產(chǎn)生兩組發(fā)送任務(wù)的數(shù)據(jù)文件。一組是位于系統(tǒng)桌面以“業(yè)務(wù)名稱_業(yè)務(wù)id”命名的文本文件,文件內(nèi)容包含多條4600 開頭的15 位IMSI 串號。該文件作為“偽基站”IMSI的數(shù)量判定的重要依據(jù)。另外一組則位于“var/usr/openbts”目錄下的“send.data”。文件內(nèi)容的每一行為由發(fā)送任務(wù)的業(yè)務(wù)ID和目標(biāo)手機(jī)的IMSI號組成。該文件作為統(tǒng)計(jì)目標(biāo)手機(jī)的參考。

      圖4 BusinessAction.class.ph中的getsentcount函數(shù)

      (2)數(shù)據(jù)庫文件:TMSI.db

      TMSI.db包括數(shù)據(jù)表TMSI_TABLESMS和SMS_SENT。TMSI_TABLESMS表記錄IMSI及TMSI的對應(yīng)關(guān)系。SMS_SENT記錄發(fā)送次數(shù),可能為空。該數(shù)據(jù)庫TMSI.db一般只作為統(tǒng)計(jì)受影響手機(jī)數(shù)的參考。

      (3)日志文件:OpenBTS.log和syslog

      OpenBTS.log,詳細(xì)記錄了OpenBTS的運(yùn)行日志,包括目標(biāo)手機(jī)的接入、發(fā)送至目標(biāo)手機(jī)及踢出目標(biāo)手機(jī)等一系列操作日志。該文件可以作為統(tǒng)計(jì)受影響手機(jī)數(shù)的重要依據(jù)。syslog文件的提取方式與OpenBTS.log相同。下面以O(shè)penBTS.log為例,重點(diǎn)介紹對該日志文件進(jìn)行提取和分析的過程。

      使用命令“cat Openbts.log |grep id = IMSI=4600”,以“IMSI=4600”作為關(guān)鍵字搜索IMSI相關(guān)數(shù)據(jù)記錄(詳見圖5),該數(shù)據(jù)作為目標(biāo)手機(jī)的數(shù)量。可使用命令“cat Openbts.log |grep id = IMSI=4600 |wc -l”,統(tǒng)計(jì)IMSI數(shù)量(未去重)。

      圖5 提取及統(tǒng)計(jì)IMSI號

      使用命令“Cat Openbts.log |grep ‘a(chǎn)ddsms’”,提取發(fā)送短信任務(wù)的記錄,如圖6所示。可使用命令“cat Openbts.log |grep id = IMSI=addsms |wc -l”,統(tǒng)計(jì)發(fā)送短信業(yè)務(wù)數(shù)。

      圖6 提取短信內(nèi)容

      短信內(nèi)容為二進(jìn)制,需要對其進(jìn)行轉(zhuǎn)化為Unicode。轉(zhuǎn)化方法:以python語言編制腳本代碼,將2進(jìn)制轉(zhuǎn)為16進(jìn)制(代碼如圖7所示),并將16進(jìn)制轉(zhuǎn)Unicode(代碼如圖8所示),轉(zhuǎn)化后顯示結(jié)果如圖9所示。

      圖7 將二進(jìn)制轉(zhuǎn)化為16進(jìn)制的代碼

      圖8 將16進(jìn)制轉(zhuǎn)化為unicode的代碼

      圖9 短信內(nèi)容轉(zhuǎn)化后顯示結(jié)果

      3 案列與經(jīng)驗(yàn)2016年6月22日,我局接到市無線電監(jiān)測站報(bào)告:轄區(qū)有人非法占用公眾通信頻率。經(jīng)偵查發(fā)現(xiàn):吳某駕駛一輛銀色中華轎車,并在車上利用手機(jī)、筆記本電腦、發(fā)射天線組建“偽基站”,流竄于成都、重慶兩地發(fā)送廣告信息牟利。在本案中,電子取證民警隨辦案民警一同到達(dá)現(xiàn)場,及時(shí)開展現(xiàn)場取證。電子證據(jù)的成功獲取為案件的順利偵破提供了關(guān)鍵證據(jù)。通過本案列,在取證過程中總結(jié)出以下幾個(gè)注意細(xì)節(jié):

      (1)“偽基站”作案,通常情況下只有主機(jī)和天線,沒有顯示器。因此在取證過程中自備顯示器和電源適配器。

      (2)“偽基站”作案,其操作系統(tǒng)往往帶有一鍵恢復(fù)、一鍵刪除等功能。因此,在現(xiàn)場取證過程中,應(yīng)對現(xiàn)場原始證據(jù)的拍照、備份等,防止相關(guān)信息和電子數(shù)據(jù)的滅失。

      (3)提取與案件相關(guān)的隱藏文檔和已刪除文檔,往往這兩類文檔也可能提供破案線索。因此,在取證過程中注意并重視這類文檔,確保重要證據(jù)不遺漏。

      (4)不斷提高技術(shù)水平,提升檢驗(yàn)鑒定能力,確保檢驗(yàn)的數(shù)據(jù)能有效轉(zhuǎn)化為關(guān)鍵電子證據(jù)。同時(shí)在電子取證過程中確保數(shù)據(jù)在獲取、存儲、使用過程中保證完整性。

      4 結(jié)束語

      筆者結(jié)合“偽基站”取證案例,介紹了“偽基站”的相關(guān)概念及其工作原理,重點(diǎn)陳述“偽基站”通信日志、軟件數(shù)據(jù)庫及相關(guān)文檔的提取方法,具有較好實(shí)用價(jià)值。隨著“偽基站”反取證技術(shù)的不斷變化,必將對現(xiàn)有的電子證據(jù)取證方法提出更高的要求。這也將是筆者下一步研究重點(diǎn)。

      [1]最高人民法院,最高人民檢察院,公安部等.關(guān)于依法辦理非法生產(chǎn)銷售使用“偽基站”設(shè)備案件的意見.公通字(2014)13號文件.

      [2]李璐,戴芬,劉洪偉,崔媛媛,李璐.“偽基站”案件電子數(shù)據(jù)取證實(shí)戰(zhàn)探索.電信網(wǎng)技術(shù),2016.

      [3]馬俊,劉燕.淺析“偽基站”原理及查找方法,監(jiān)測檢測,2015.

      猜你喜歡
      代碼短信文檔
      有人一聲不吭向你扔了個(gè)文檔
      道歉短信
      創(chuàng)世代碼
      動漫星空(2018年11期)2018-10-26 02:24:02
      創(chuàng)世代碼
      動漫星空(2018年2期)2018-10-26 02:11:00
      創(chuàng)世代碼
      動漫星空(2018年9期)2018-10-26 01:16:48
      創(chuàng)世代碼
      動漫星空(2018年5期)2018-10-26 01:15:02
      代發(fā)短信
      基于RI碼計(jì)算的Word復(fù)制文檔鑒別
      Persistence of the reproductive toxicity of chlorpiryphos-ethyl in male Wistar rat
      不讓他人隨意下載Google文檔
      電腦迷(2012年4期)2012-04-29 06:12:13
      雷波县| 茂名市| 桦甸市| 平顺县| 安新县| 盐边县| 拉萨市| 松江区| 五大连池市| 上饶县| 梅河口市| 门源| 鹤壁市| 定边县| 和林格尔县| 长阳| 新津县| 慈溪市| 绥宁县| 蒲城县| 全椒县| 玉树县| 驻马店市| 镇平县| 崇明县| 江油市| 彩票| 甘孜县| 阿荣旗| 普安县| 平乐县| 高要市| 偃师市| 元谋县| 兰西县| 克拉玛依市| 沁阳市| 隆林| 晋中市| 江山市| 浏阳市|