“偽基站”案件電子數據取證實戰探索

李　璐　山東聊城市公安局網絡安全保衛支隊助理工程師戴　芬　山東聊城市公安局網絡安全保衛支隊助理工程師劉洪偉山東聊城市公安局網絡安全保衛支隊助理工程師崔媛媛中國信息通信研究院技術與標準研究所高級工程師

?

“偽基站”案件電子數據取證實戰探索

李璐山東聊城市公安局網絡安全保衛支隊助理工程師
戴芬山東聊城市公安局網絡安全保衛支隊助理工程師
劉洪偉山東聊城市公安局網絡安全保衛支隊助理工程師
崔媛媛中國信息通信研究院技術與標準研究所高級工程師

摘要：隨著移動技術的不斷發展，“偽基站”違法案件頻發。為了加強電子數據取證固化“偽基站”證據的能力，本文在對“偽基站”構成特點進行分析的基礎上，結合實際案例，重點介紹了“偽基站”案件中電子數據取證的方法及過程，總結了取證經驗。

關鍵詞：電子數據取證；“偽基站”；實戰分析

1　引言

近年來，違法犯罪分子利用“偽基站”實施各類違法犯罪活動，犯罪形式不斷多樣化，并形成了黑色產業鏈條。這類案件的發生，嚴重危害了通訊安全，影響了正常社會秩序，威脅了人民群眾財產安全。2014年2月，公安部等九部委開展了關于打擊整治非法生產銷售和使用“偽基站”違法犯罪活動專項行動，成效顯著。作為公安機關網絡安全部門，如何使電子數據證據取證工作更加科學化、規范化，如何更有效地為打擊“偽基站”案件提供定性證據，是亟需研究解決的一項課題。

2　“偽基站”構成、工作原理及特點

“偽基站”能夠通過偽裝成公眾移動通信基站，進而采集用戶的個人信息，并向用戶發送各類短信，同時能夠產生與運營商基站同頻的大功率無線電信號，從而對正常的通信信號產生嚴重干擾，直接影響了公眾移動通信的正常運行和手機用戶的通信質量。

“偽基站”主要是由無線電收發裝置及天線、控制臺（一般是一臺裝有Linux系統，并安裝類似OpenBTS軟件的筆記本電腦）和一部工程定制手機組成，能夠搜取以其為中心、一定半徑范圍內的手機卡信息。此類設備運行時，其利用了2G通信網絡GSM的一個安全漏洞缺陷——單向鑒權。單向鑒權，是指基站會對客戶端的入網身份進行驗證，但是手機客戶端不會對基站的真偽進行驗證。一旦手機信號被強制連接到“偽基站”，在短暫時間內，“偽基站”后臺可以任意冒用某個手機或公用號碼，強行向用戶發送垃圾廣告、詐騙信息等。待信息發送完畢，再將用戶手機清退回原來的運營商無線網絡中。

“偽基站”一般具有以下特點：

●投入少，成本低，利潤可觀

不法分子在科技市場或者通過網購購買配件或整套設備，價格從幾千元到數萬元不等，每套設備每小時最多能發送上萬條廣告短信。在巨大的經濟利益驅使下，不法分子不惜以身試法。

●易隱蔽，機動性強，查處難度大

“偽基站”一般都會設置在出租房或汽車內，不使用專業設備很難發現，因此為查處工作帶來了許多困難。

3　實戰分析（1）

3.1案例描述

市民李某報案稱，其在某商場大樓內收到一條短信稱其銀行電子密碼器積分可兌換，其按照短信上提供的網址進行登陸，在其提供了其個人賬號、密碼、電子密碼器密碼后，被轉走1萬余元。后經偵查員數月偵查，抓獲犯罪嫌疑人并查獲作案工具“偽基站”4臺。

3.2取證過程

檢查這4臺“偽基站”設備存儲盤均使用的是msSATASSD固態硬盤，將msSATASSD固態硬盤裝載到SSD固態硬盤適用USB3.0硬盤盒內，通過只讀接口接入取證塔，使用軟件對“偽基站”設備存儲盤的Ubuntu系統進行仿真，桌面存有GSMS軟件。

“偽基站”控制軟件OpenBTS使用國際移動用戶識別碼（IMSI），提供標準的GSM接入口，基于通用軟件無線電外圍設備（USRP）來實現與手機的空中接口，模擬移動運營商基站功能，以實現發送短信功能。其中，IMSI是儲存在SIM卡中用以區分不同移動用戶的一組唯一性標識，由15位數字組成，包括移動國家碼（MCC）、移動網絡碼（MNC）和移動用戶識別碼（MSIN）3個部分。

本案中辦案單位針對特定受害人，提供受害人使用的接收詐騙短信手機的IMSI串號為4600216xxxx2270。根據“偽基站”發送信息留存IMSI串號的特點，運行“取證大師”加載掃描“偽基站”設備存儲盤，通過對磁盤內所有文件針對受害人手機IMSI串號“4600216xxxx2270”進行關鍵詞搜索，搜索結果數量為1，所在文件名為“OpenBTS.log”。圖1為針對受害人手機IMSI串號的搜索結果。

這時，不難發現“OpenBTS.log”就是“偽基站”開源軟件OpenBTS運行后產生的用于軟件記錄的詳細日志文件，將文件“OpenBTS.log”導出并保存在證據文件夾內。使用log日志文件查看工具“LogViewer”來打開“OpenBTS. log”日志文件查看。通過查看工具“LogViewer”中的搜索功能搜索受害人手機串號，在日志文件中搜索到“registration SUCCESS：IMSI= 4600216xxxx2270”，從而印證了“取證大師”中的結果。圖2為LogViewer的搜索結果。

成功發送短信的手機IMSI串號自動記錄在了“OpenBTS.log”日志文件中，因此在取證軟件“取證大師”中通過對關鍵詞“SUCCESS：IMSI=4600”進行搜索，從而來統計成功發送手機IMSI串號的數量。通過對關鍵詞“SUCCESS：IMSI=4600”進行搜索，搜索結果為78261，所在文件名為“OpenBTS.log”，由此得出結論，該“偽基站”成功發送短信數量為78261。

4　實戰分析（2）

4.1案例描述

民警在執勤途中在某停車場內發現一部可疑車輛，隨后民警對該可疑車輛進行控制并進行了檢查，在車內發現一套“偽基站”設備，包括發射天線、3個用于供電的大功率電瓶、一臺大功率發射機、一臺筆記本電腦以及一個變壓器。經對涉案人員進行調查詢問，其對非法利用“偽基站”設備發送冒充95588工商銀行服務號碼，發送積分兌換現金和銀行密碼器過期等詐騙信息的違法事實供認不諱。

4.2取證過程

圖2　LogViewer搜索結果

圖1　針對受害人手機IMSI串號搜索結果

首先，對移送的“偽基站”控制端筆記本電腦硬盤使用硬盤復制機制作硬盤副本，將“偽基站”筆記本硬盤副本通過只讀接口接入取證塔，“偽基站”控制端筆記本使用的操作系統為Linux Ubuntu系統，使用軟件對Ubuntu系統進行仿真，桌面存有GSMS短信平臺軟件。軟件業務面板顯示內容有發送的業務名稱、顯示號碼、計數、短信內容、任務狀態等。軟件使用者可以通過業務面板的添加、刪除、暫停、開始發送等選項任意添加、刪除、暫停、開始發送任務，新添加執行的任務會自動存儲到業務列表中。軟件在每次任務結束后自動在桌面生成“.txt”文本文檔，名稱與任務名稱部分對應，內容為記錄接收的手機IMSI串號。此案中，Ubuntun操作系統桌面上顯示已存在兩個“.txt”文本文檔。

運行R-studio取證軟件加載“偽基站”控制端筆記本電腦硬盤副本，對其進行掃描，提取出文件名為“11_1420371241.txt”、“22_1420371268.txt”、“221_ 1420382799.Id_79094.txt”的文檔。打開并瀏覽文檔，其內容為記錄的以4600開頭的15位IMSI串號，經過計數統計，其中“11_1420371241.txt”內有54690個IMSI號，“22_1420371268.txt”內有11274個IMSI號，“221_1420382799.Id_79094.txt”內有36673個IMSI號。將這3個.txt文本文檔導出，固定證據。

由此說明，除桌面上保留的“.txt”文本文檔，還存在已經被嫌疑人刪除的統計發送情況的文檔。因此，在取證過程中應注意提取和恢復已刪除的任務文檔，確保證據不遺漏。

5　經驗與啟示

上述兩起案件嫌疑人均已批捕，并進入公訴階段，電子證據為案件的順利偵破提供了關鍵性定性證據。

（1）由于電子數據具有易變性、易復制性、隱蔽性等特點，所以在現場勘驗過程中，應注意現場勘驗原始證據的拍照、固定等，防止相關信息和電子數據的滅失，將可能產生認定糾紛的相關數據及時固化，最終結合電子數據取證證據形成具有法律效力的關鍵證據。

（2）嫌疑人使用的“偽基站”設備中用以記錄發送情況的“.txt”文件如果已被刪除，在取證過程中，恢復出來的“.txt”文件將不能真實體現文檔生成時間，在作為證據認定發送數量使用時，容易存在爭議。因此，應結合案件中的其他證據對嫌疑人發送數量進行認定。

（3）提升電子證據在偵查和訴訟過程中的證明力。通過不斷提升技術水平，增強檢驗鑒定能力，保證相關數據轉化為關鍵、有力的電子證據，并確保數據在取得、存儲、證據使用過程中不被篡改，并能無限期安全存儲。

參考文獻

1劉曉宇，李錦，劉浩陽.電子數據檢驗技術與應用［M［］.北京：中國人民公安大學出版社，2015.

2曹茂虹，王大強.淺談“偽基站”的基本原理及電子取證分析［J］.信息安全與技術，2015（4）.

“Pseudo Base Station”case of electronic data evidence of actual combat

Li Lu， Dai Feng， Liu Hongwei， CuiYuanyuan

Abstract:With the mobile technology development，“pseudo base station”illegal crime. In order to strengthen the electronic data forensics curing“pseudo base station”ability of evidence， based on the characteristics of“pseudo base station”， on the basis of analysis， combined with the actual case， focus on the“pseudo base station”case method and process of electronic data evidence，sumup the experiences of forensics.

Keywords:electronic data evidence； pseudo base station； the practical analysis