偽基站數據中電子取證應用分析

曹敏

(山西警察學院，山西太原，030401)

0 引言

隨著科學技術的不斷創新和發展，為人們的生活和工作提供便捷，但同時為不法分子提供了可乘之機，很多不法分子會通過“偽基站”來實施非法廣告推銷、電信詐騙等違法活動，給人們的通信安全帶來一定威脅，因此，針對該類情況要進行嚴厲打擊，從而為人們的財產安全提供有效保障。

1 偽基站概念和工作原理分析

1.1 偽基站概念及特點分析

偽基站同時又被稱為假基站，通常由筆記本電腦和USRP主機共同構成，主要利用短信發信機和短信群發器等有關設施，以設備位置為中心，獲取周邊一定范圍內的手機卡信息。偽基站主要具有以下幾方面特點，通常不法分子會將偽基站有關設施放置到汽車當中，并將其行駛到人群比較多的區域來進行不良信息的發送，從而達到詐騙、非法廣告等目的，通常發送的短信主要以兩種類型為主，第一種屬于不定向群發短信類型，主要面對的人群比較多的區域，向一定范圍內的手機發送短信，其中主要以詐騙信息為主，比如偽造公檢法、銀行等官方號碼等，第二種屬于定向型，具備攻擊性特點，違法人員主要會以某一個手機號當做目標來實施不良短信的輸送，通常會以該號碼主人同事、親戚、朋友的手機號來實施攻擊，從而實現定向詐騙的目的。由此可見，偽基站具有造作簡單、成本低以及投入少的特點，并且查找難度大、機動性強、隱蔽性強，大多數隱藏在流動提包、流動汽車以及出租房內。

1.2 微基站的工作原理分析

圖1 偽基站工作原理示意圖

偽基站在工作過程中主要設計以下幾部分，分別為遙控器、充電器、電池、天線、發射機，應用的背包式偽基站主要以無線遙控的方式通過手機來實施控制，其內部的主要工作原理如下，在移動通訊過程中，其不同信令過程通過移動信令檢測系統實施有效檢測，從而給對一定區域內的手機用戶位置進行有效覆蓋，如果用戶選擇的業務發送目標區域和位置信息相同，則信令檢測檢測系統會對目標檢測網絡的有關信令鏈路實施有效檢測。第一，偽基站在官博時會通過專用的廣播控制信道來實施，從而將相應的系統信息發送到周邊用戶手機中，如果在偽基站位置區域內有用戶手機的位置信息進入，則依照相關要求和協議，會讓手機用戶將位置信息進行更新。第二，當位置更新請求信息傳輸到偽基站后，偽基站會會通過識別身份方式來對手機用戶的IMIS信息進行有效獲取，完成上報后會對位置實施有效更新，同時會以數據包的形式向手機傳輸信息，而手機用戶在確認完成后會再次接收到新的信息，從而對位置實施更新。第三，整個過程實施時，用戶手機的原有位置號和IMIS會進行保留，所以，當再次將位置更新請求發送到手機式，會被進行拒絕，從而不會出現數據包重復發送的情況。具體操作流程如下圖1所示。

2 偽基站數據的電子取證應用分析

2.1 校準偽基站設備系統時間與后臺數據提取

首先，在實施偽基站數據電子取證過程中，因為不法分子會通過租用的方式來應用偽基站設備，或者以群體方式來實施違法犯罪，導致存在偽基站設施出現不同人員使用的現象，所以，對偽基站設備系統時間實施校準，在面對不同不良分子所導致的用戶終端問題時，能夠為區分違法情況提供依據。其次，在對后臺數據“gsms”進行提取時，要配置文件“config.php”實施有效檢查，在檢查時主要目標為“/var/usr/openbts/Conf/”，而應用的網站服務器主要以“mysql”為主，因此其數據庫的名稱為“gsms”，而數據庫主要以“root”為用戶名，應用過程中主要用“nb250+38”為密碼，數據庫通過相應的數據表來對偽基站的所發送的短信任務實施儲存，而相關的信息主要設計以下幾方面信息，分別為任務狀態、任務內容、任務發送數量、任務創建時間、任務名稱、發送任務顯示的號碼。

2.2 檢驗IMIS記錄

IMIS主要是指國際移動用戶識別碼，全部信息在SIM中實施儲存，從而對不同移動用戶實施有效區分，通常IMIS是由15個數字構成，其中主要包括三部分，分別為用戶識別代碼、移動代號以及網絡代碼和國家代碼。提取和統計如下圖2所示，在對IMIS記錄實施檢定和取證偽基站數據時，主要設計以下幾類文件，分別為TMIS.db、sysloy、OpenBTS.log、send.data以及桌面txt文件。第一，send.data和桌面txt文件屬于文本類型，在發送軟件在實施短信發送時，主要會出現兩組數據文件，第一組文本文件為業務名稱與業務id，主要在系統桌面中存在，主要涉及以4600為開頭的IMIS串號，而該文本文件能夠當做判定偽基站IMIS數量的證據，第二個文本文件主要為send.data，涉及的內容由倆各方面組成，一方面為目標手機的IMIS號，另外一方面為任務發送的業務ID號，因此可以作為對目標手機實施統計的依據。第二，TMIS.db為數據庫文件，該數據在應用過程中主要用來對受影響手機數實施參考和統計。第三，sysloy和OpenBTS.log，主要是對相關的運行日志即興記錄，其中主要包括目標手機踢出、目標手機發送以及接入目標手機，因此可以當做主要參考依據來對受影響的手機數實施統計。

圖2 提取及統計IMI號

3 偽基站數據中電子取證應用案例分析

以重慶市公安局某區分局為例，該分局接到無線電監測報告顯示出現公眾通信頻率被非法占用的信號，通過相關的調查，不法分子通過駕駛一臺裝有偽基站設備的車輛來進行廣告發送，主要利用發射天線、筆記本電腦以及手機來進行操作，從而獲取相應的報酬，在進行電子取證過程中，辦案民警與當地民警同時達到現場進行確證，從而為破獲該案件搜集證據，依照該案例主要獲取以下幾點研究看法，第一，不法分子在利用偽基站實施作案時，主要以天線和主機為主，不會涉及相關的顯示器設備，所以，在實施相關數據取證過程中要自己配備相應的電源適配器和顯示器。第二，不法分子利用偽基站實施實施作案時，其應用的操作系統通常會安裝有一鍵刪除和一鍵恢復等功能，所以在實施取證過程中要及時進行證據拍照和數據備份，避免相關電子數據和信息被損毀。第三，要高度重視與案件有關的已刪除文件和隱藏文件，這類文件如何正確對待，通常會從中獲取一定的數據信息，因此在獲取該類數據信息時要進行有效保存。最后，要積極提升電子取證的技術水平，從而將可獲取的數據有效轉化為電子證據，從而為相關案件的破獲提供幫助。