淺談偽基站取證分析

劉旭哲　蔣天予

“偽基站”設備，是指“未取得電信設備進網許可和無線電發射設備型號核準，具有搜取手機用戶信息，強行向不特定用戶手機發送短信息等功能，使用過程中會非法占用公眾移動通信頻率，局部阻斷公眾移動通信網絡信號，經公安機關依法認定的非法無線電通信設備”。

“偽基站”設備一般由主發射機，配套天線和裝有群發短信軟件的控制電腦三部分組成，發射與周邊公眾移動通信基站頻率相同但信號強度更大的信號。目前，部分通信網絡協議中，手機與基站通信時，基站會對手機的身份進行認證，而手機卻不會對基站的身份進行認證。當手機附近出現信號更強的基站時，手機會自動連入功率較大的基站。因此，一旦手機被吸入“偽基站”設備，“偽基站”將向這些手機終端發送任意數量，任意內容，任意主叫號碼的短信。短信發送完成后，“偽基站”對再次經過的位置數據更新，將已經駐留過的手機終端踢出，迫使其重新回到正常網絡。在手機設備連入“偽基站”的過程中，手機信號將會暫時性的脫離原有網絡，無法正常使用運營商提供的服務，直到重新回到運營商正常網絡后才能恢復使用。“偽基站”設備目前主要依靠開源的GSM基站軟件項目OpenBTS實現。OpenBTS是一個基于Linux類系統的開源軟件項目，使用軟件無線電平臺充當GSM空中接口來連接標準的2G的GSM手持設備，并使用SIP軟交換協議或PBX進行呼叫連接。“偽基站”設備在運行時，使用者在“偽基站”程序界面進行發送內容，號碼，次數等參數的設定，用戶設置完成點擊“發送”按鈕后“偽基站”將設置的參數傳遞給OpenBTS調用與主機相連接的發射設備進行短信發送。

大部分“偽基站”系統使用Ubuntu系統，鑒定人員要對Linux操作系統有一定的了解，熟悉相關Linux命令。需要鑒定人員在虛擬的環境中對偽基站系統進行仿真，特別要注意的是當前系統的時間屬性和時區的轉換。此外，鑒定人員也要對偽基站軟件“OpenBTS”進行研究，了解其程序結構、使用的數據庫、信息。“偽基站”設備中與鑒定相關的文件詳細情況如下表所示：

由于不同的“偽基站”軟件中包含的具體數據類型各不相同，每種“偽基站”數據取證方法有所不同。根據現有的分析數據來看，“偽基站”數據取證框架主要包括三部分。

1檢驗“偽基站”通信日志獲取手機被干擾數

“偽基站”設備在連入用戶手機，阻礙用戶通信時所使用的核心部分是OpenBTS軟件。OpenBTS軟件在運行時可能會在系統留下日志文件，該文件通常為位于系統目錄下的OpenBTS.log或Syslog日志文件。該日志包含了“偽基站”設備與手機設備通信中的交互過程及手機設備的IMSI號，分析該日志將會獲取到受“偽基站”設備干擾的手機設備數。由于OpenBTS是一個開源程序，各版本的“偽基站”可能使用不同的OpenBTS程序，在使用時有些OpenBTS不會輸出日志或輸出到其他路徑，需要分析人員對日志文件進行準確定位。

2檢驗“偽基站”軟件數據庫獲取發送的IMSI數

“偽基站”軟件與其他軟件一樣，通常包含后臺數據庫，運行日志等數據文件。其中后臺數據使用最多的是MySQL和SQLite數據庫。這些數據庫中經常會存有用戶設置發送的短信，號碼以及發送的數量。部分“偽基站”軟件在發送過程會留下具體的發送日志文件，包含發送時間和發送對象的IMSI號碼等信息。分析這些后臺文件將獲取以下數據：①界面顯示數量：“偽基站”軟件界面上所顯示的短信發送數量；②數據庫實發數：“偽基站”軟件存儲在后臺數據庫中的短信實際發送條數；③IMSI詳單數：統計“偽基站”軟件運行日志文件詳單中IMSI條數后獲得的統計數。由于“偽基站”在發送短信時需要中斷手機與原有基站的聯系，因此“IMSI詳單數”在檢驗結果中也可以認定為從“偽基站”運行日志文件中獲取到的手機設備被干擾數。

3檢驗“偽基站”軟件運行環境獲取使用痕跡

“偽基站”的Linux環境在使用時通常包含大量的用戶痕跡數據，如用戶登錄記錄，系統終端日志，系統使用日志等。在檢驗中，通過對這些數據的解析將提供“偽基站”軟件使用相關的行為痕跡。例如“偽基站”檢驗工作中出現過“偽基站”的Linux系統時間與真實世界的時間存在的時間差，檢驗結果中必須將該時間差作為結果一部分進行表述。

“偽基站”犯罪是一種社會危害性巨大的高科技犯罪，并一直在不斷進化，目前只要使用2G通訊網絡，“偽基站”就有存在的空間，將來隨著技術的發展，其影響可能會涉及到4G通訊網絡。因此，制訂相關“偽基站”檢驗技術標準，形成行之有效的方法，持續推進和深化“偽基站”取證技術研究刻不容緩。本文針對“偽基站”取證的原理和取證難點，介紹了“偽基站”數據取證過程的重點和目標，提出了一套具有普遍意義的“偽基站”取證框架和方法，以最常見的GSMS“偽基站”軟件作為案例深入分析和測試實驗，對有效開展“偽基站”數據檢驗，有力打擊和震懾“偽基站”違法犯罪活動提供強有力的技術支撐。endprint