【技术视界】第27期:一种有效提取伪基站中短信内容的技术方案
近年来,利用伪基站短信进行诈骗的案件呈现高增长的态势,给人们财产安全带来严重威胁。针对伪基站中的短信,目前缺乏成熟的检验分析方法,给案件的侦破和取证带来困难。为此,数据恢复四川省重点实验室科研人员将介绍一种伪基站短信提取的有效方案,为打击伪基站诈骗案件提供技术支持。
近年来,伪基站短信数量不断攀升,利用伪基站短信进行诈骗的案件屡见不鲜。根据百度移动安全发布的报告:从2014年开始,中国伪基站短信数量不断攀升,仅2015年上半年,伪基站短信的总量就高达7亿条。其中,郑州、成都、长春、沈阳、大连、上海、广州、重庆、武汉等地也“受灾严重”。伪基站短信数量不断攀升,给人们的财产安全带来严重威胁。因此,研究一种提取伪基站中短信的可靠方案,对打击伪基站诈骗案件有重要意义。
【图1:百度移动卫士发布的伪基站短信地区分布】
针对“伪基站”中的短信信息,目前市场上缺乏成熟的对其进行检验分析的方法。技术人员往往只能提取到伪基站所干扰手机的IMSI,难以深入提取“伪基站”设备发送的具体短信内容。而现有的检验工具无法直接使用,也进一步加大了电子数据检验鉴定工作难度。
针对伪基站短信提取的难点,数据恢复四川省重点实验室科研人员对“伪基站”进行了全方位综合研究,在此基础上,制定了一套伪基站短信提取的有效方案。该方案通过查找与检验有关的短信数据记录,再通过数据解析,最终得到相关伪基站短信内容。
1.数据搜索:查找与检验有关的短信数据记录
1.1搜索伪基站中OpenBTS的日志文件OpenBTS.log。
搜索伪基站中OpenBTS的日志文件OpenBTS.log,利用WinHex等工具进行查看分析,发现系统中与短信有关的数据可分为二个方面:分别与send.data和OpenBTS.log文件相对应。短信信息都存储在路径为“/var/lib/ mysql/gsms/ibdata/”下的数据库文件中,即使是删除的任务,在数据库中也可以找到记录。
备注:虽然“计数”表示的是发送短信的数量,但这个数值在业务面板上是可以手工修改的。因此,用面板上的这一数量来直接获得的发送短信的数量有可能是不准确的。
1.2搜索伪基站数据记录的软件运行日志信息。
伪基站数据记录的软件日志文件存储路径为“/var/logs/OpenBTS. log”,该文件是OpenBTS软件运行的详细日志,文件中的每一行由时间(年月∕日∕时∕分∕秒格式)和运行记录组成,记录了“伪基站”设备运行、配置以及其与手机交互的相关信息,如位置更新、信令信息、用户IMSI等,如图2。
【图2:OpenBTS文件内容示列】
2.数据解析:解析OpenBTS. log文件中的短信
通过一个接收到伪基站短信内容的手机,可以发现伪基站在什么时间,发送什么短信给目标手机,如图3。
【图3:接收短信图示】
目前,对伪基站中的短信进行数据提取,普遍采用的方法是利用关键字进行搜索。例如,针对图3中的手机短信内容,可以使用短信中的“农业银行”作为关键字,借助winhex的同步搜索功能,在伪基站日志文件中进行关键字搜索,以此判断有无短信内容,如图4。
【图 4:按照编码搜索关键字】
通过winhex搜索,未发现关键字“农业银行”,如图5。很多人以此就认定,该日志文件中没有存储该短信内容,但真实的情况并非如此,下面我们将介绍如何提取日志中的短信内容。
【图 5:搜索关键字的结果】
通过分析伪基站日志文件发现,短信内容是以Unicode big endian的编码,直接以16进制内容存放于日志文件中,如图6。
【图6: OpenBTS. Log中短信内容】
将图6找到的短信内容以文本方式查看与保存,即可得到正常文件,其中0xFEFF是Unicode big endian文本的标识,将编码转换为Unicode big endian后,短信内容展现在右侧,如图7。
【图7 :短信编码与文本对应图】
备注:图 7中519c4e1a94f688等的十六进制值与图6 OpenBTS. Log日志文件中黄色记录的内容的是一致的。
值得注意的是,在OpenBTS. Log文件中还存在另外一类短信内容格式的数据,它将短信内容按照Unicode big endian编码格式转换,再将转换的结果以二进制数存储与OpenBTS. Log日志文件中;短信内容开始标记为“addsms”,结束为“from”,如图8。
【图 8:以二进制存储的短信内容】
针对这种格式的数据,可以取图8中前四个字节的二进制值将其转换为十六进制数值:01011110 (=5E) 、 01111000(=78)、01111001(=79)、10001111(=8F)。
将转换后的4个十六进制值以Unicode big endian编码格式按顺序排列,即可得到对应的文本,如图9。
【图 9:短信编码与文本对应图】
注意:图 9中的5E 78 79 8F的二制值与图8中的二进制一一对应。
通过以上步骤和方法,成功提取到伪基站中的所有短信内容。
转载文章请注明出处并保持原图文不变!
【技术视界】系列推荐:
1、【技术视界】第1期:手机取问的快速解密方法技术研究证-手机音频文件恢复提取技术研究
2、【技术视界】第2期:精确读取 提高缺陷硬盘数据恢复成功率
3、【技术视界】第3期: 如何利用S.M.A.R.T.技术对硬盘进行健康体检?
4、【技术视界】第4期: 电子取证-WD硬盘固件损坏的文件恢复提取技术研究
5、【技术视界】第5期:电子取证——智能手机定位痕迹如何快速提取?
6、【技术视界】第6期:电子取证——日立硬盘BIOS加密无法访
7、【技术视界】第7期:手机取证-SQLite数据库文件恢复提取技术研究
9、【技术视界】第9期:视频侦查——不转码直接检索监控视频的方法探讨
10、【技术视界】第10期:电子取证— RAID 5、RAID 6崩溃的数据恢复取证提取技术研究
11、【技术视界】第11期:教你怎么编写智能手机APP的取证脚本
12、【技术视界】第12期:电子取证反向思维 防御手机APP偷窃破案机密的2个高招
13、【技术视界】第13期:希捷硬盘修复P表实现数据恢复的电子取证方法研究
14、【技术视界】第14期:手机取证——关于iPhone手机数据提取方式的探讨
15、【技术视界】第15期:智能手机APP取证脚本编写续—iPhone数据提取与解析
16、【技术视界】第16期:视侦检索技术(一)——视频解码研究
17、【技术视界】第17期:电子取证— 360浏览器历史记录数据恢复提取方法
18、【技术视界】第18期:手机取证— 手机解锁不清除数据研究
20、【技术视界】第20期:手机取证——安卓Radio日志基站数据提取
21、【技术视界】第21期:IOS/Android设备GPS定位点和基站原始数据解析
22、【技术视界】第22期:通过清除非常驻缺陷表解决希捷硬盘前好后坏故障的研究