伪基站数据中电子取证应用分析

曹敏

(山西警察学院，山西太原，030401)

0 引言

随着科学技术的不断创新和发展，为人们的生活和工作提供便捷，但同时为不法分子提供了可乘之机，很多不法分子会通过“伪基站”来实施非法广告推销、电信诈骗等违法活动，给人们的通信安全带来一定威胁，因此，针对该类情况要进行严厉打击，从而为人们的财产安全提供有效保障。

1 伪基站概念和工作原理分析

1.1 伪基站概念及特点分析

伪基站同时又被称为假基站，通常由笔记本电脑和USRP主机共同构成，主要利用短信发信机和短信群发器等有关设施，以设备位置为中心，获取周边一定范围内的手机卡信息。伪基站主要具有以下几方面特点，通常不法分子会将伪基站有关设施放置到汽车当中，并将其行驶到人群比较多的区域来进行不良信息的发送，从而达到诈骗、非法广告等目的，通常发送的短信主要以两种类型为主，第一种属于不定向群发短信类型，主要面对的人群比较多的区域，向一定范围内的手机发送短信，其中主要以诈骗信息为主，比如伪造公检法、银行等官方号码等，第二种属于定向型，具备攻击性特点，违法人员主要会以某一个手机号当做目标来实施不良短信的输送，通常会以该号码主人同事、亲戚、朋友的手机号来实施攻击，从而实现定向诈骗的目的。由此可见，伪基站具有造作简单、成本低以及投入少的特点，并且查找难度大、机动性强、隐蔽性强，大多数隐藏在流动提包、流动汽车以及出租房内。

1.2 微基站的工作原理分析

图1 伪基站工作原理示意图

伪基站在工作过程中主要设计以下几部分，分别为遥控器、充电器、电池、天线、发射机，应用的背包式伪基站主要以无线遥控的方式通过手机来实施控制，其内部的主要工作原理如下，在移动通讯过程中，其不同信令过程通过移动信令检测系统实施有效检测，从而给对一定区域内的手机用户位置进行有效覆盖，如果用户选择的业务发送目标区域和位置信息相同，则信令检测检测系统会对目标检测网络的有关信令链路实施有效检测。第一，伪基站在官博时会通过专用的广播控制信道来实施，从而将相应的系统信息发送到周边用户手机中，如果在伪基站位置区域内有用户手机的位置信息进入，则依照相关要求和协议，会让手机用户将位置信息进行更新。第二，当位置更新请求信息传输到伪基站后，伪基站会会通过识别身份方式来对手机用户的IMIS信息进行有效获取，完成上报后会对位置实施有效更新，同时会以数据包的形式向手机传输信息，而手机用户在确认完成后会再次接收到新的信息，从而对位置实施更新。第三，整个过程实施时，用户手机的原有位置号和IMIS会进行保留，所以，当再次将位置更新请求发送到手机式，会被进行拒绝，从而不会出现数据包重复发送的情况。具体操作流程如下图1所示。

2 伪基站数据的电子取证应用分析

2.1 校准伪基站设备系统时间与后台数据提取

首先，在实施伪基站数据电子取证过程中，因为不法分子会通过租用的方式来应用伪基站设备，或者以群体方式来实施违法犯罪，导致存在伪基站设施出现不同人员使用的现象，所以，对伪基站设备系统时间实施校准，在面对不同不良分子所导致的用户终端问题时，能够为区分违法情况提供依据。其次，在对后台数据“gsms”进行提取时，要配置文件“config.php”实施有效检查，在检查时主要目标为“/var/usr/openbts/Conf/”，而应用的网站服务器主要以“mysql”为主，因此其数据库的名称为“gsms”，而数据库主要以“root”为用户名，应用过程中主要用“nb250+38”为密码，数据库通过相应的数据表来对伪基站的所发送的短信任务实施储存，而相关的信息主要设计以下几方面信息，分别为任务状态、任务内容、任务发送数量、任务创建时间、任务名称、发送任务显示的号码。

2.2 检验IMIS记录

IMIS主要是指国际移动用户识别码，全部信息在SIM中实施储存，从而对不同移动用户实施有效区分，通常IMIS是由15个数字构成，其中主要包括三部分，分别为用户识别代码、移动代号以及网络代码和国家代码。提取和统计如下图2所示，在对IMIS记录实施检定和取证伪基站数据时，主要设计以下几类文件，分别为TMIS.db、sysloy、OpenBTS.log、send.data以及桌面txt文件。第一，send.data和桌面txt文件属于文本类型，在发送软件在实施短信发送时，主要会出现两组数据文件，第一组文本文件为业务名称与业务id，主要在系统桌面中存在，主要涉及以4600为开头的IMIS串号，而该文本文件能够当做判定伪基站IMIS数量的证据，第二个文本文件主要为send.data，涉及的内容由俩各方面组成，一方面为目标手机的IMIS号，另外一方面为任务发送的业务ID号，因此可以作为对目标手机实施统计的依据。第二，TMIS.db为数据库文件，该数据在应用过程中主要用来对受影响手机数实施参考和统计。第三，sysloy和OpenBTS.log，主要是对相关的运行日志即兴记录，其中主要包括目标手机踢出、目标手机发送以及接入目标手机，因此可以当做主要参考依据来对受影响的手机数实施统计。

图2 提取及统计IMI号

3 伪基站数据中电子取证应用案例分析

以重庆市公安局某区分局为例，该分局接到无线电监测报告显示出现公众通信频率被非法占用的信号，通过相关的调查，不法分子通过驾驶一台装有伪基站设备的车辆来进行广告发送，主要利用发射天线、笔记本电脑以及手机来进行操作，从而获取相应的报酬，在进行电子取证过程中，办案民警与当地民警同时达到现场进行确证，从而为破获该案件搜集证据，依照该案例主要获取以下几点研究看法，第一，不法分子在利用伪基站实施作案时，主要以天线和主机为主，不会涉及相关的显示器设备，所以，在实施相关数据取证过程中要自己配备相应的电源适配器和显示器。第二，不法分子利用伪基站实施实施作案时，其应用的操作系统通常会安装有一键删除和一键恢复等功能，所以在实施取证过程中要及时进行证据拍照和数据备份，避免相关电子数据和信息被损毁。第三，要高度重视与案件有关的已删除文件和隐藏文件，这类文件如何正确对待，通常会从中获取一定的数据信息，因此在获取该类数据信息时要进行有效保存。最后，要积极提升电子取证的技术水平，从而将可获取的数据有效转化为电子证据，从而为相关案件的破获提供帮助。