Python編程在電子數據取證分析中的應用

章凇 張朝程

摘 要：近年來，電子數據取證分析技術日益成熟，大部分電子數據取證分析工具都能對主流的應用程序數據進行提取解析，提高了電子數據取證分析人員工作效率的同時也降低了電子數據取證分析人員的技術門檻。然而，在實際電子數據取證分析工作中，目前基于預設策略的電子數據取證分析工具無法智能化、自動化地對新的應用程序數據進行提取解析。如何提取解析數據量大、數據復雜的應用程序數據，這給電子數據取證分析人員提出新的挑戰，成為目前取證分析工作中的難點。

關鍵詞：Python；編程；電子數據取證；分析

中圖分類號：DF793.2 文獻標識碼：B

The application of python programming in digtal forensics and analysis

Abstract： In recent years， the technology of digtal forensics and analysis is increasingly mature. The mainstream application data can be extracted and analyzed by most of the digtal forensics and analysis tools， so that it can improve digital forensic investigation works efficiency while also reducing the technical threshold. However， in practical work， tools which is based on default policies can not extracted and analyzed the new application data intelligently and automatically. For digital forensic investigators， it's a big challenge to extracted and analyzed the large and complex application data.

Key words： python； programming； digtal forensics； analysis

1 引言

在電子數據取證分析工作中，我們常常遇到手頭上的電子數據取證分析工具預設的數據提取策略無法滿足提取解析個別小眾的或基于違法犯罪目的開發的特別的應用程序數據，也無法進行數據恢復等操作，給取證工作的開展帶來諸多不便。目前，通常的應對做法是使用Encase、X-Ways Forensics、UFED Physical Analyzer和Digatal Forensics Framework等電子數據取證分析工具自帶的腳本編譯器編程提取解析數據，但此種方法仍然會受到取證軟件本身設計的一些限制導致有時不能達到理想的取證效果。為填補這一漏洞，使得對這一類特殊應用程序的取證可以達到最佳效果，滿足不同實戰環境的取證要求，本文以一種非典型“偽基站”的主程序日志文件的編程取證為例，提出了一種根據不同應用場景使用Python編程解決特殊應用程序數據提取的思路，在實戰中取得較好的效果。當然，除此之外還可以使用C/C++、C#、Java甚至Linux Shell編程實現相同的效果。本文在此只介紹Python一種。

2 “偽基站”案件的取證要點

目前，國內辦理的“偽基站”案件的行為性質大部分為非法使用“偽基站”設備干擾公用電信網絡信號、危害公共安全，依照《刑法》第一百二十四條第一款的規定，以破壞公用電信設施罪追究刑事責任；同時構成虛假廣告罪、非法獲取公民個人信息罪、破壞計算機信息系統罪、擾亂無線電通訊管理秩序罪的，依照處罰較重的規定追究刑事責任。除法律、司法解釋另有規定外，利用“偽基站”設備實施詐騙等其他犯罪行為，同時構成破壞公用電信設施罪的，依照處罰較重的規定追究刑事責任[1]。

針對非法使用“偽基站”設備干擾公用電信網絡信號、危害公共安全行為，最高人民法院公布了相關司法解釋：造成2000以上不滿1萬用戶通信中斷1小時以上，或者1萬以上用戶通信中斷不滿1小時的；在一個本地網范圍內，網間通信全阻、關口局至某一局向全部中斷或網間某一業務全部中斷不滿2小時或者直接影響范圍不滿5萬（用戶×小時）的；造成網間通信嚴重障礙，1日內累計2小時以上不滿12小時的，屬于刑法第一百二十四條規定的“危害公共安全”，依照刑法第一百二十四條第一款規定，以破壞公用電信設施罪處3年以上7年以下有期徒刑[2]。

根據上述“偽基站”案件的量刑依據，可知“偽基站”案件的取證要點主要有“偽基站”已發送的短信內容、“偽基站”的操作系統時間、“偽基站”的中斷用戶通信的時間段和被“偽基站”中斷通信的用戶數量。其中，獲取“偽基站”已發送的短信內容是“偽基站”案中電子取證的一個難點。

3 “偽基站”已發送短信內容的存儲位置

嫌疑人使用“偽基站”發送短信時，通常會在“偽基站”主界面、“偽基站”的MySQL數據庫文件“ibdata1”、“偽基站”的系統日志“syslog”系列文件和“偽基站”的主程序日志文件“OpenBTS.log”存儲有已發送的短信內容。

4 應用背景簡介

工作中發現一種非典型的“偽基站”軟件，該軟件操作主界面無數據顯示，且通過Linux Shell命令登錄“偽基站”的MySQL數據庫發現“偽基站”主程序的相關記錄也被清空，無法用常規方法及取證軟件對軟件界面及數據庫中存儲的發送信息條數、發送信息內容等定案關鍵數據進行恢復提取。經對該軟件的結構及文件內容反復研究，我們發現軟件的一個日志文件“OpenBTS.log”中存儲有大量的可疑數據，于是決定以此為切入點，嘗試采用以下解密方式恢復該日志文件中的內容，從而達到既定的獲取該“偽基站”軟件發送出去的手機短信息內容的取證目的。

5 “OpenBTS.log”中短信內容的手工提取解析過程

提出該算法的主要思路是，根據“偽基站”軟件數據庫及日志文件中存儲數據的一般結構，先用關鍵字“addsms”將所有的疑似涉案數據二進制文件提取出來，然后根據網絡上較常見的木馬程序等加密解密的規則，先手工將這些二進制文件解密成正常能閱讀的漢語言文字，再用編程的方式，實現取證的自動化，大大減少取證人員的重復工作量，提高取證效率。經反復試驗，現將手工解密的原理介紹如下：將檢材的備份鏡像文件中路徑“/var/log/”下的“OpenBTS.log”計算SHA-256值后復制到專用U盤。啟動殺毒軟件對電子物證檢驗工作站系統進行殺毒，殺毒結果顯示電子物證檢驗工作站系統為安全。將專用U盤通過只讀方式連接到電子物證檢驗工作站，打開Terminal，進入到“/media/root/761E61A1E35D3B9/”目錄下，校驗“OpenBTS.log”SHA-256值一致性后，使用“cat OpenBTS.log | grep 'addsms' | head -2”，命令運行結果如圖1所示。

使用文本編輯器將第二行短信數據中的二進制數值按順序以1個字節（8位）為單位轉換為十六進制數值，十六進制數值長度不足兩位的在前面補0。轉換后的十六進制編碼短信數據如圖2所示。

使用文本編輯器將十六進制編碼短信數據按順序每隔2個字節插入“＼u”，連接成Unicode編碼，操作完成后如圖3所示。

使用Unicode編碼轉換工具將Unicode編碼短信數據解碼后如圖4所示。

使用“cat OpenBTS.log | grep 'raw=（.＼{63，＼}）' | head -2”。

6 程序設計

根據“OpenBTS.log”中短信內容的手工提取解析方法畫出流程圖，如圖5所示。

有了以上手工解密的原理和流程圖，現使用Python編程實現對“OpenBTS.log”短信內容的自動提取解析，該程序的源代碼及注釋如圖6所示。

該Python程序在Linux kali 4.6.0-kali1-amd64、Python 2.7.12下正常運行，程序的部分運行結果如圖7所示。

參照“OpenBTS.log”中短信內容的提取解析方法，可提取解析出“偽基站”的系統日志“syslog”系列文件中的已發送短信數據，具體提取解析步驟和Python程序實現就不再一一詳述。

該算法另辟蹊徑，在無法實現對數據庫主要數據的恢復的情況下，從其各類系統及操作日志入手，將日志中經過加密的各種數據使用二進制轉UNICODE的解密方法，曲線實現對軟件存儲及發送的手機短信內容進行的取證目的，在實戰中取得了較好的效果，同時大大提高了對“偽基站”類軟件的取證效率，經測試，目前市面上大多架構類似的“偽基站”軟件都可按照本文介紹的方法進行關鍵數據的恢復和提取。

7 結束語

近年來，在針對“偽基站”的電子取證軟件尚未普及之時，本文所使用的Python程序已成功對多起“偽基站”案的“OpenBTS.log”進行提取解析。隨著電子技術和軟件產業的飛速發展，未來的電子數據取證工作將會遇到更多、更新穎的數字化設備和軟件，必將對電子數據取證分析人員的技術水平提出更高的要求。與其坐等電子取證軟件的更新升級，不如提高自身的電子數據取證分析水平，更快更好地完成電子取證工作。

參考文獻

[1] 最高人民法院，最高人民檢察院，公安部，等. 關于依法辦理非法生產銷售使用“偽基站”設備案件的意見[S]. 公通字﹝2014﹞13號文件.

[2] 最高人民法院關于審理破壞公用電信設施刑事案件具體應用法律若干問題的解釋[J]. 人民檢察，2005， （03）：64.

[3] 曹茂虹.王大強.“偽基站”的基本原理及電子取證分析[J]，信息安全與技術，2015，04（6），73-75.

[4] 王隆娟.移動支付安全問題探索[J].信息安全與技術，2015，01（6），7-10.

[5] 王李平.孫春雷.王琛.代杰.偽基站數據的電子取證分析[J].警察技術，2016，05，56-58.

[6] 劉浩陽.利用偽基站的電信詐騙偵查取證.[j].警察技術，2016，02，8-10.

[7] 岳力.非法使用“偽基站”的定性和量刑[J].人民司法，2015，16，27-28.