PDU結構分析在手機短信檢驗鑒定中的應用

胡穎

（湖南省公安廳物證鑒定中心 電子物證實驗室，湖南 長沙410001）

1 引言

目前，GSM（Global System for Mobile communication，全球移動通信系統）手機發送和接收短信息時經常采用三種模式：Block模式、Text模式和PDU模式（Protocol Data Unit，即協議數據單元）。Block模式現在基本很少使用；Text模式十分簡單，實現起來也十分容易，但是不能收發中文信息，經常在發送英文或者數字短信息時使用；PDU模式較前兩者復雜，可以同時支持中文短信息和英文短信息，因此其被國內手機默認作為收發短信息的編碼方式。

2 PDU結構分析[1]

PDU模式收發短信息時，可以使用7-bit、8-bit和UCS2三種編碼格式。其中，7-bit編碼主要用于發送普通的ASCII字符，最大長度為160個字符；8-bit編碼主要用于發送數據信息，如圖片和鈴聲等，最大長度為140個字符；UCS2編碼則用于發送Unicode字符，最大長度為70個字符。

2.1 發送數據包結構

我們首先介紹發送格式，PDU模式下發送數據包一般是由13部分組成，具體結構見表1。

表1 PDU模式發送數據結構

（1）短信息服務中心地址長度L：其等于短信息服務中心地址格式（TON/NPI）的長度加上短信息服務中心地址的長度。

（2）短信息服務中心地址格式（TON/NPI）：是以位圖形式表示，一般將Bit7至Bit0分為3個部分（見表2）。 最高位 Bit7始終置 1，Bit6至Bit4（共3位）則用于表示號碼類型，Bit3至Bit0（共4位）則用于表示號碼鑒別，號碼類型和號碼鑒別位圖表（見表3～4）。

表2 短信息服務中心地址格式位圖表

（3）目標地址數字個數M：指的是目標地址（TPDA）以十進制表示時的長度，即目標地址的數字個數，不包括目標地址格式（TON/NPI）。不管是短信息服務中心地址，還是目標地址，都是采用字節內反轉，即當號碼位數是奇數時，會自動補‘F’湊成偶數再發送。比如電話號碼為8613907312345，轉換后的格式為“68 31 09 37 21 43 F5”。

（4）基本參數（TP-MTI/VFP）：以位圖形式表示，共分為6部分（見表5）。

①應答路徑，TP-Reply-Path，置0表示不設置應答路徑；置1表示設置。

②用戶數據頭標識，TP-User-Data-Header-Indicator，置0表示不包含任何用戶數據頭信息；置1表示包含頭信息。這個標識一般在增強消息業務中需要設置，圖片鈴聲包含有頭部信息，文本則不包含頭部信息。

③狀態報告要求，TP-Status-Report-Request，置0表示需要報告；置1表示不需要報告。

④有效期格式，TP-Validity-Period-Format，置00時表示TP-VP項無效；置10時表示TP-VP項有效，整型；置01時表示預留；置11時表示TP-VP項有效，半字節反轉格式（Semi-Octet Represented）。

表3 號碼類型位圖表

表4 號碼鑒別位圖表

表5 基本參數位圖表

⑤拒絕復制，TP-Reject-Duplicates，置0時表示接受復制；置1時表示拒絕復制。

⑥信息類型提示，TP-Message-Type-Indicator，置00 時表示讀?。―eliver）；置 01 時表示發送（Submit）。

（5）消息基準值（TP-MR）：表示當前短消息重復發送的次數，置00時表示讓電話自己設置消息基準值。

（6）協議標識（TP-PID）[2]：位圖形式表示，分為 3部分。Bit7和Bit6默認置00，具體參見GSM 03.40協議標識完全定義；置11時表示為服務中心特殊用途分配。Bit5置0時表示不使用遠程網絡，只是短消息設備之間的協議；置1時表示使用遠程網絡。Bit4至Bit0表示協議種類，詳細信息見表6。

表6 協議種類位圖表

（7）數據編碼方案（TP-DCS）[3]：位圖形式表示，分為5部分。Bit7和Bit6一般默認設置為00。Bit5置0時表示文本未壓縮；置1時表示文本用GSM標準壓縮算法壓縮。Bit4置0表示Bit0為保留位，不含信息類型信息；置1表示Bit1和Bit0含有信息類型信息。Bit3和Bit2置00時表示7-bit編碼；置01時表示8-bit編碼；置10時表示USC2編碼；置11時表示保留。Bit1和Bit0置00時表示Class0；置01時表示Class1，默認ME特定；置10時表示Class2，SIM卡特定信息；置11時表示Class3，默認TE特定，詳情參見GSM 03.38。

（8）有效期（TP-VP）：用來表示短信有效時間，由前面的TP-VPF來決定。當TP-VPF為0x10時，表示相對當前的時間，參數表見表7；當TP-VPF為0x11時，表示為絕對時間，即時間戳（TP-SCTS），用 7個Byte表示年月日時分秒時區信息，每個Byte采用高位和低位反轉的方式存儲，即Semi-Octet Represented，比如，“2013年01月23日04時05分06秒08時區”則編碼為“31 10 32 40 50 60 23”。注意，時區00表示GMT+0，增加間隔為15min，字節反轉前的第1位為符號位，置 0表示“+”，置1表示“-”，所以 GMT+8 為“32”，反轉后為“23”。

表7 TP-VP相對時間參數表

2.2 接收數據包結構

在PDU模式下接收短信息時，其數據包結構與發送相類似，主要區別是數據包中不包含消息基準值（TP-MR）和有效期（TP-VR），增加了7個字節的時間戳（TP-SCTS）（見表8）。 TP-SCTS結構在前面 TP-VR中已有介紹。

表8 PDU模式接收數據結構

3 案例應用

2013年，某市發生一起兇殺案，幾部涉案的手機被送檢，其中一部山寨手機通過手機檢驗分析系統鏡像后，系統無法自動解析其鏡像文件?，F需對該鏡像文件進行手工分析，對其存儲的短信息進行查找和恢復。

3.1 方法

（1）首先使用Cellebrite手機檢驗分析系統對檢材進行物理鏡像，得到檢材的BIN鏡像文件。

（2）然后對BIN鏡像文件進行十六進制關鍵字搜索。由于中國的區號為“86”，在短信息服務中心地址和目標地址前面都會加“86”，并且短信息服務中心地址格式一般采用國際號碼格式，即TON/NPI為“91”，轉換成PDU格式為“91 68”，這就是我們要搜索的十六進制。

（3）最后對每條搜索中的記錄，按照PDU模式的數據包結構進行篩選和手工分析，即可得到檢材中的所有短信息內容。

3.2 分析

下面以其中一條搜索記錄為例進行分析，該記錄位于鏡像文件偏移016CE5D1處（見圖1）。

從圖1中可以發現，PDU數據包為 “08 91 68 31 08 90 17 05 F0 24 0D 91 68 81 99 37 86 13 F6 00 08 31 50 13 81 80 33 23 22 5E 0C 67 1B 4F 60 8B F4 76 84 61 C2 66 2F 77 1F 76 84 00 20 00 20 62 11 50 5A 99 6D 4E 86 00 20 00 20”，長度為63個字節。

圖1 PDU數據包

其中，“08”表示短信息服務中心地址長度為8個字節，即“91 68 31 08 90 17 05 F0”。 “91”表示短信息服務中心地址格式，二進制為“1001 0001”，即國際電話號碼格式?！?8 31 08 90 17 05 F0”表示短信息服務中心地址，高低位反轉即“8613800971500F”，“F”為補充位。 “24”表示基本參數，二進制為“0010 0100”（見表 9）。

表9 基本參數詳情表

“0D”表示回復地址數字個數，即回復號碼為13位數字?！?1”表示回復地址格式，二進制為“1001 0001”，即國際電話號碼格式。

“68 81 99 37 86 13 F6”表示回復地址，高低位反轉轉換后，即發送方號碼為“8618997368316F”，“F”為補充位。 “00”表示協議標識，二進制為“0000 0000”，詳細參數（見表10）。

表10 協議標識參數表

“08”表示用戶數據編碼方案，二進制為“0000 1000”，詳細參數（見表 11）。

表11 數據編碼方案參數表

“31 50 13 81 80 33 23”表示時間戳，半字節反轉得到“13 05 31 18 08 33 32”，即“2013年05月31日18時08分33秒”，“32”表示32/4=8h，“32”的二進制為“00110010”，Bit7=0，屬于“+”，所以32表示時區GMT+8。

“22”表示用戶數據長度為34個字節，“5E 0C 67 1B 4F 60 8B F4 76 84 61 C2 66 2F 77 1F 76 84 00 20 00 20 62 11 50 5A 99 6D 4E 86 00 20 00 20”則表示用戶數據，采用USC2編碼，即17個Unicode字符：“希望你說的懂是真的[空格][空格]我做飯了[空格][空格]”，詳情參見Unicode轉換表，這里不再贅述。

4 結論

通過對PDU模式的結構分析，本案成功恢復出檢材中的所有短信息，包括刪除未覆蓋的短信息內容，可見這種檢驗分析的思路和方法在手機檢驗鑒定中是可行的，并且只需要普通的十六進制編輯軟件就可以做到，技巧很容易掌握，實用性很強。另外，當我們需要快速檢出某個手機號碼或者某個時間內的短信息，則可以根據上述編碼方式，更改十六進制關鍵字搜索，比如需要檢出手機號碼為“13973123456”的短信息，那我們將十六進制關鍵字更改為“91 68 31 79 13 32 54 F6”，便可以篩選出所有“13973123456”號碼的短信息，簡單快捷。

[1]PDU 編碼 [EB/OL].（2011-12-29）[2014-01-15].http：//blog.csdn.net/linux_xiaomugua/article/details/7085374.

[2]ETSI.GSM 協議 03.40[EB/OL].（1995-12-23）[2014-01-15].http：//download.csdn.net/detail/zhjweizhjwei/2309514.

[3]ETSI.GSM 協議 03.38[EB/OL].（1994-09-05）[2014-01-11].http：//download.csdn.net/download/samlei/1619647.