第二十五期 取证实战篇- 伪基站取证
伪基站,从技术上讲是由于2G的GSM单向认证漏洞而产生的。即只能网络对卡鉴权,卡无法鉴权网络,也就是说,只要你能够发射和GSM基站行为类似的无线电信号,就可以让周围的GSM手机连接到你的假冒基站中,然后你就可以向连到你的基站上的手机群发短信了。此外,GSM系统中的加密不是端到端的,只是在无线信道部分即MS和BTS之间进行加密。
随着公安打击伪基站的力度不断加大,伪基站技术的也在随之不断发展。目前市面上可以看到的伪基站主要分为传统伪基站和新型伪基站。所谓传统伪基站就是关机后仍能提取到IMSI记录的伪基站,而新型伪基站由于采用的是Ubuntu LiveCD系统,所有数据是制售设备时的初始数据,关机状态/重启后便不存在新的使用数据。本篇将就传统伪基站的取证鉴定步骤进行介绍。
一
检材的确认、登记及拍照
传统伪基站的设备的组成通常为:主机/笔记本电脑+发射设备(含天线)+测频手机。
一般情况下,需要鉴定的对象为电脑中的硬盘。鉴定前,需要对电脑及电脑中的硬盘进行登记(唯一性编号)以及拍照。
二
复制检材硬盘并计算校验值
1
复制硬盘
复制硬盘的方式一般有两种:一种是盘对盘的方式,一种是盘到镜像文件的方式。复制过程采用的标准为GA/T 756-2008《数字化设备证据数据发现提取固定方法》。使用的工具包括:硬盘复制机、只读接口+镜像软件(如FTK Imager)。
2
计算校验值
计算原盘和复制件的校验码,一般的硬盘复制机支持的校验方式包括,MD5,SHA1,SHA256(本人一般使用SHA256)。
需注意的是,如果采取盘对盘的复制方式,需要在检验报告和检验过程记录中注明,复制盘是偏移地址“0000000000”至“XXXXXXXXX”位的校验值与原盘的校验值相同。
三
检验方式
伪基站的数据检验分为:开机检验和关机检验两部分。有些检验可以在不启动检材的情况下进行,有些检验需启动检材后才能进行,如系统时间检验和控制软件检验。
在对伪基站进行检验的过程中,搜索采用的标准为GB/T 29362-2012《电子物证数据搜索检验规程》,数据恢复采用的标准为GB/T 29360-2012《电子物证数据恢复检验规程》,数据提取的标准使用的是GA/T 756-2008《数字化设备证据数据发现提取固定方法》。
开机检验的方式有两种:
1、将复制盘替换原盘后,启动检材进行检验;
2、使用虚拟仿真软件(如VFC)对镜像文件或复制盘进行系统仿真后,进行检验。
四
系统时间检验
系统时间检验的方式有两种:
1、将复制硬盘替换原盘后,启动检材查看时间。
注意:使用复制盘或者镜像文件进行系统仿真得到的时间并不准确(原因:BIOS时间)。
2、将BIOS时间换算后确定系统时间
1)1)取出检材中硬盘,开机进入BIOS查看时间。
2)将BIOS时间与标准北京时间进行对比。
3)查看操作系统时间配置文件/etc/default/rcS,UTC=no,则说明操作系统未将BIOS时间认定为UTC时间,那么操作系统将直接读取BIOS时间;UTC=yes,则说明操作系统将BIOS时间认定为UTC时间,操作系统时区设置文件位于/etc/localtime。
4)计算/etc/localtime文件的MD5值,并与/usr/share/zoneinfo目录中所有文件的MD5值进行哈希比对,即可得到当前操作系统的时区配置。
五
控制软件检验
1、仿真启动/使用复制盘直接启动检材后,开机进入名为GSMS的用户系统,密码一般为123456,一般在桌面有涉案程序快捷方式,且程序会自动弹出。
2、查看涉案程序快捷方式属性,指向涉案程序的存放目录(/var/usr)。
3、重点关注“计数”项是否可以进行修改(无论是否能够修改,“计数”都无法作为认定标准)。
六
MySQL数据库检验
MySQL数据库检验的方法也是两种:一种是使用navicat导出gsm_business数据表,一种是在系统终端通过命令行将mysql数据库中数据表内容导出。个人倾向第一种,要方便很多。
1
使用navicat导出gsm_business数据表
将/var/lib/mysql/目录下的gsms文件夹和ibdata1文件导出保存至C:\ProgramData\MySQL\MySQL Server 5.5\data目录下后,使用Navicat查看。
注意:复制前需要把MySQL的服务停止,复制后再重启。
1
通过命令行导出mysql数据库中数据表
MySQL登陆设置保存在/var/usr/openbts/Conf/config.php中,从该文件中可以获知伪基站使用的数据库类型为mysql,数据库名为gsms,数据库的用户名密码分别为“root”和“nb250+38”。
1)使用命令“mysql –u root –p nb250+38”,进入MySQL数据库,
2)使用命令“show databases;”,查看MySQL中的所有数据库。
3)MySQL中除系统数据库外,存在数据库“gsms”,使用命令“use gsms”切换到“gsms”数据库。
4)使用命令“show tables;”查看“gsms”数据库中的表。数据库“gsms”中仅有一张名为“gsm_business”的数据表。
5)使用查询语句“select * from gsm_business”查询数据库中的所有数据。
6)使用命令“mysqldump –u root –p gsms > gsms_web.sql”导出数据库中数据。
7)在本地MySQL中,导入“gsms_web.sql”文件。
七
IMSI记录检验
IMSI由15位数字组成,包括移动国家码(MCC)(中国为460)、移动网络码(MNC)(移动00/02,联通01)和移动用户识别码(MSIN)三部分组成。它可能存在于伪基站的OpenBTS.log、syslog系列文件、桌面TXT文件、send.data以及TMSI.db数据库中。进行检验鉴定时,必须结合看伪基站软件的代码进行综合分析,有条件的话可以做一些侦查实验。
1
OpenBTS.log
OpenBTS.log位于/var/log/目录下,是判断伪基站中IMSI记录的重要依据之一。
由于目前伪基站影响的基本是移动GSM的手机(中国电信用户之所以没有遭遇伪基站骚扰主要与CDMA技术原理有关。中国电信CDMA网络采用军用扩频技术,它的信号码址是42位PN伪随机码。如果不知道用户所使用的编码,伪基站无法获得手机用户当前的位置信息,也就无法连接到CDMA用户。
搜索的话,一般使用4600作为关键字进行搜索。工具可以使用类似WinHex之类的编码工具,也可以自己编写Pathon脚本实现,本人倾向使用后一种方式提取,然后使用前一种方式进行验证。
提取成功后,导入EXCEL表格中,里面一般需要的数据为“月日时分秒+IMSI号”。
注意:OpenBTS.log文件中只记录了月日时分秒,需要通过查看文件创建修改时间,采用从后往前递推方式,确定年份。
由于大多数的法院要求确定的是受影响的IMSI号,所以要求对IMSI号再进行一次去重处理,EXCEL的“数据”菜单下“自带删除重复项”的功能。
2
syslog系列文件
syslog系列文件位于var/log/目录下,包括syslog、syslog.1、syslog.2.gz、syslog.3.gz、syslog.4.gz、syslog.5.gz、syslog.6.gz和syslog.7.gz、是判断伪基站中IMSI记录的重要依据之一。有时候此类文件会被删除,因此需要进行数据恢复进行提取。
syslog2.gz等需要解压缩后进行检验,检验方法同OpenBTS.log。多个syslog可以合并后检验,也可单独检验。我是脚本结合批处理命令实现的,会的话非常方便。
3
桌面TXT文件
桌面的TXT文件也是伪基站提取IMSI记录的关重要依据,它的位置在“/home/gsms/桌面/”目录下,该文件中只记录了IMSI号,因此需要查看该文件创建修改时间进行综合判断。该文件同syslog系列文件,有时也需要进行数据恢复。
此外,大多数此类型的文件的命名方式是以时间作为文件名的一部分,具体需结合看伪基站软件的代码进行综合分析。解码可使用Decode进行分析,一般使用的是Unix:Numeric Value。如文件名为10_1399269121.txt,对应的时间为Mon, 05 May 2014 05:52:01 UTC。
4
send.data
send.data文件位于“/var/usr/”下,它只能作为受影响手机数的参考,该文件分为两列:第一列为短信任务ID,第二列为受影响的IMSI号。
5
TMSI.db数据库
TMSI.db位于/etc/OpenBTS/下,其中包括表:TMSI_TABLESMS(记录TMSI和IMSI对应关系)SMS_SENT(发送次数,可能为空)。检验时可以使用sqlite数据库浏览工具进行检验,个人认为这个数据库只能作为参考,意义不是很大。
八
短信的检验
伪基站中的短信可能存在于下列4个地方:运行软件的界面(前面已提及)、gsm_business数据表(前面已提及)、OpenBTS.log和syslog系列文件中。
如果是在OpenBTS.log和syslog系列文件中,以addsms作为关键字进行搜索,可以发现后面跟着一串二进制的代码。将2进制转16进制,16进制转Unicode即可解析出发送的短信。网上可以找到现成的转换代码,如果需要进行批量转换的话,还是需要自己动手写脚本,听说目前已经有取证软件的升级版本支持伪基站设备的短信解析。
九
形成报告
计算所有导出文件和检验过程中截图文件的校验码。将涉案数据采用封盘刻录的方式刻录至不可擦写的空白光盘上,并形成最终报告。
小编语录
这是电子数据取证鉴定的实战篇的第一期,应广大读者的要求,介绍的是传统伪基站的取证。
其实作为实战篇的开篇,小编原本是打算介绍如何撰写司法鉴定报告,希望将鉴定报告的规范化做一次推广。但是,架不住众多读者的要求,因此,第一篇还是就以前已经介绍过的伪基站取证做进一步介绍,也希望对大家有所帮助。上述的观点仅是小编个人的一点心得,如有不足之处,还请大家见谅。
如需转载可与小编进行联系,下图是小编微信号。
