浅谈伪基站取证分析

刘旭哲　蒋天予

“伪基站”设备，是指“未取得电信设备进网许可和无线电发射设备型号核准，具有搜取手机用户信息，强行向不特定用户手机发送短信息等功能，使用过程中会非法占用公众移动通信频率，局部阻断公众移动通信网络信号，经公安机关依法认定的非法无线电通信设备”。

“伪基站”设备一般由主发射机，配套天线和装有群发短信软件的控制电脑三部分组成，发射与周边公众移动通信基站频率相同但信号强度更大的信号。目前，部分通信网络协议中，手机与基站通信时，基站会对手机的身份进行认证，而手机却不会对基站的身份进行认证。当手机附近出现信号更强的基站时，手机会自动连入功率较大的基站。因此，一旦手机被吸入“伪基站”设备，“伪基站”将向这些手机终端发送任意数量，任意内容，任意主叫号码的短信。短信发送完成后，“伪基站”对再次经过的位置数据更新，将已经驻留过的手机终端踢出，迫使其重新回到正常网络。在手机设备连入“伪基站”的过程中，手机信号将会暂时性的脱离原有网络，无法正常使用运营商提供的服务，直到重新回到运营商正常网络后才能恢复使用。“伪基站”设备目前主要依靠开源的GSM基站软件项目OpenBTS实现。OpenBTS是一个基于Linux类系统的开源软件项目，使用软件无线电平台充当GSM空中接口来连接标准的2G的GSM手持设备，并使用SIP软交换协议或PBX进行呼叫连接。“伪基站”设备在运行时，使用者在“伪基站”程序界面进行发送内容，号码，次数等参数的设定，用户设置完成点击“发送”按钮后“伪基站”将设置的参数传递给OpenBTS调用与主机相连接的发射设备进行短信发送。

大部分“伪基站”系统使用Ubuntu系统，鉴定人员要对Linux操作系统有一定的了解，熟悉相关Linux命令。需要鉴定人员在虚拟的环境中对伪基站系统进行仿真，特别要注意的是当前系统的时间属性和时区的转换。此外，鉴定人员也要对伪基站软件“OpenBTS”进行研究，了解其程序结构、使用的数据库、信息。“伪基站”设备中与鉴定相关的文件详细情况如下表所示：

由于不同的“伪基站”软件中包含的具体数据类型各不相同，每种“伪基站”数据取证方法有所不同。根据现有的分析数据来看，“伪基站”数据取证框架主要包括三部分。

1检验“伪基站”通信日志获取手机被干扰数

“伪基站”设备在连入用户手机，阻碍用户通信时所使用的核心部分是OpenBTS软件。OpenBTS软件在运行时可能会在系统留下日志文件，该文件通常为位于系统目录下的OpenBTS.log或Syslog日志文件。该日志包含了“伪基站”设备与手机设备通信中的交互过程及手机设备的IMSI号，分析该日志将会获取到受“伪基站”设备干扰的手机设备数。由于OpenBTS是一个开源程序，各版本的“伪基站”可能使用不同的OpenBTS程序，在使用时有些OpenBTS不会输出日志或输出到其他路径，需要分析人员对日志文件进行准确定位。

2检验“伪基站”软件数据库获取发送的IMSI数

“伪基站”软件与其他软件一样，通常包含后台数据库，运行日志等数据文件。其中后台数据使用最多的是MySQL和SQLite数据库。这些数据库中经常会存有用户设置发送的短信，号码以及发送的数量。部分“伪基站”软件在发送过程会留下具体的发送日志文件，包含发送时间和发送对象的IMSI号码等信息。分析这些后台文件将获取以下数据：①界面显示数量：“伪基站”软件界面上所显示的短信发送数量；②数据库实发数：“伪基站”软件存储在后台数据库中的短信实际发送条数；③IMSI详单数：统计“伪基站”软件运行日志文件详单中IMSI条数后获得的统计数。由于“伪基站”在发送短信时需要中断手机与原有基站的联系，因此“IMSI详单数”在检验结果中也可以认定为从“伪基站”运行日志文件中获取到的手机设备被干扰数。

3检验“伪基站”软件运行环境获取使用痕迹

“伪基站”的Linux环境在使用时通常包含大量的用户痕迹数据，如用户登录记录，系统终端日志，系统使用日志等。在检验中，通过对这些数据的解析将提供“伪基站”软件使用相关的行为痕迹。例如“伪基站”检验工作中出现过“伪基站”的Linux系统时间与真实世界的时间存在的时间差，检验结果中必须将该时间差作为结果一部分进行表述。

“伪基站”犯罪是一种社会危害性巨大的高科技犯罪，并一直在不断进化，目前只要使用2G通讯网络，“伪基站”就有存在的空间，将来随着技术的发展，其影响可能会涉及到4G通讯网络。因此，制订相关“伪基站”检验技术标准，形成行之有效的方法，持续推进和深化“伪基站”取证技术研究刻不容缓。本文针对“伪基站”取证的原理和取证难点，介绍了“伪基站”数据取证过程的重点和目标，提出了一套具有普遍意義的“伪基站”取证框架和方法，以最常见的GSMS“伪基站”软件作为案例深入分析和测试实验，对有效开展“伪基站”数据检验，有力打击和震慑“伪基站”违法犯罪活动提供强有力的技术支撑。endprint