趙夏果 鄭潔
摘要:近年來,利用偽基站進行詐騙的案件越來越多,給人們的財產(chǎn)安全帶來嚴重威脅。在辦理偽基站案件時,如何提取偽基站設(shè)備中的數(shù)據(jù)內(nèi)容成為量刑的關(guān)鍵所在。針對這一問題,該文介紹了三種有效提取數(shù)據(jù)內(nèi)容的方法:軟件界面提取法、MySQL數(shù)據(jù)庫提取法及日志文件提取法,并使用Java語言編寫程序,將日志文件中的二進制串轉(zhuǎn)換成字符串,成功提取了日志文件中的短信內(nèi)容。
關(guān)鍵詞:數(shù)據(jù)內(nèi)容;MySQL;日志文件;偽基站;Java
中圖分類號:TN924 文獻標識碼:A 文章編號:1009-3044(2018)10-0058-03
1 引言
近年來,偽基站短信數(shù)量呈快速增長態(tài)勢,利用偽基站進行詐騙的案件時常發(fā)生。《2016年中國偽基站短信研究報告》[1]顯示:2016年3月份,360手機衛(wèi)士共攔截各類偽基站短信1.1億條,平均每天攔截偽基站短信約354.8萬條。在這些偽基站短信中,冒充95555的數(shù)量最多,高達766萬條,其次是冒充95588、10086、95533和95599等號碼的短信。接收偽基站短信的手機用戶中,其中中國移動用戶占89.4%,中國聯(lián)通用戶占9.5%,中國電信用戶占1.1%,主要是因為中國移動仍在使用GSM系統(tǒng)。從偽基站短信內(nèi)容來看,主要有廣告推銷類、違法類、詐騙類、賭博類、色情類、謠言類房地產(chǎn)推廣類等。
2016年,山東打擊治理電信詐騙成效顯著,全年共繳獲170余臺偽基站設(shè)備[2]。重慶警方在打擊治理利用偽基站進行詐騙方面也取得了顯著成效。據(jù)報道[3]:重慶市綦江區(qū)公安局2016年破獲一起特大偽基站系列詐騙案,搗毀詐騙團伙及窩點2個,抓獲嫌疑人11人,扣押贓款500余萬元,受害人涉及10余省市1000余人。截止到2016年7月20日,重慶警方共查獲26套設(shè)備,抓獲嫌疑人31人。可見,偽基站對人們的危害范圍之廣。目前市場上還沒有成熟的技術(shù)和檢驗工具來提取偽基站設(shè)備中的短信內(nèi)容,在辦理相關(guān)案件時,主要靠提取設(shè)備中的IMSI來量刑。因此,如何有效地提取偽基站設(shè)備中的短信內(nèi)容,對打擊偽基站詐騙案件有著重要意義。
2 準備工作
由于目前沒有成熟的設(shè)備和工具來提取偽基站設(shè)備中的短信內(nèi)容,本文作者使用Java語言編寫了提取短信內(nèi)容的小程序,在以后辦理此類案件時,就可以輕松的提取到偽基站短信內(nèi)容。
2.1 軟件的安裝
1) 首先從網(wǎng)站https://www.eclipse.org/downloads/下載eclipse編譯軟件;
2) 其次從網(wǎng)站http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downlo
ads-2133151.html下載SDK軟件;
3) 安裝eclipse和SDK軟件并配置相應(yīng)路徑,具體參考文獻[4];
SDK軟件安裝配置后,進行驗證是否安裝成功,如圖1所示表示安裝成功。
3 偽基站短信內(nèi)容提取
針對偽基站設(shè)備中IMSI數(shù)據(jù)的提取,王李平等人在文獻[5]中給出了三種提取方法,都成功提取了有效數(shù)據(jù)。但是針對短信內(nèi)容的提取目前還沒有成熟的工具。為此,本文將介紹下面三種短信內(nèi)容提取方法①。
3.1 軟件界面短信內(nèi)容提取
對鏡像文件進行仿真,啟動偽基站設(shè)備操作系統(tǒng),登錄密碼默認為:123456。登錄系統(tǒng)后,在Ubuntu系統(tǒng)桌面會有圖2所示的GSMS界面,將鼠標移動至短信內(nèi)容欄,就可以查看發(fā)送的短信內(nèi)容。但是,這種方法最多只能查看一條信息的內(nèi)容,有時沒有內(nèi)容顯示。
3.2 數(shù)據(jù)庫文件短信內(nèi)容提取
偽基站設(shè)備的數(shù)據(jù)庫一般采用的是MySQL,其數(shù)據(jù)庫文件的存放位置為/var/lib/mysql/,提取出該文件夾下面的ibdata1、db.opt、和gsm_business.frm三個文件,復(fù)制到mysql的數(shù)據(jù)存放位置,使用Navicat for MySQL軟件打開,即可查看曾經(jīng)發(fā)送的短信內(nèi)容、時間、條數(shù)業(yè)務(wù)名稱和顯示的號碼等信息,如圖3所示。
3.3 日志文件短信內(nèi)容提取
日志文件中短信內(nèi)容的提取相比較上述兩種來說,難度更大,因為要從文件中的二進制轉(zhuǎn)換成字符串,一般技術(shù)人員無法完全提取。再者,短信內(nèi)容包含在系統(tǒng)日志文件syslog和GSMS軟件日志文件中,需要分別提取,有時會忽略syslog文件。由于syslog文件在系統(tǒng)中分成7個文件,在提取數(shù)據(jù)前需要將這7個文件合并成一個文件再進行提取。使用UltraEdit軟件打開日志文件,內(nèi)容如圖4所示,我們無法直接查看短信內(nèi)容。所以需要將亮條顯示行中18001891519之后的二進制進行轉(zhuǎn)換。
本文采用eclipse軟件編寫代碼提取、轉(zhuǎn)換短信內(nèi)容。Eclipse軟件的使用可參考文獻[5,6],本文不再贅述。代碼的內(nèi)容分為三部分:(1)日志文件的讀入;(2)提取包含有短信內(nèi)容的二進制串;(3)將二進制串轉(zhuǎn)換成字符串。
(1)日志文件的讀入
(2)提取含有短信內(nèi)容的二進制所在行,并提取二進制
(3)二進制到字符串的轉(zhuǎn)換
分別讀取syslog和OpenBT日志文件,并運行上述代碼,分別得到下面圖5和圖6的結(jié)果。
4 結(jié)論
由于目前沒有成熟提取偽基站短信內(nèi)容的設(shè)備和工具,提出了三種有效的提取方法:GSMS軟件界面提取法、MySQL數(shù)據(jù)庫提取法及日志文件提取法。另外,針對目前很多技術(shù)人員無法有效地提取日志文件中的短信內(nèi)容,編寫了上述基于Java語言的代碼源程序,可以有效地提取短信內(nèi)容,提高了工作效率。
注釋:
① 在提取數(shù)據(jù)之前,需要對原始數(shù)據(jù)做鏡像,然后對鏡像文件進行仿真,提取數(shù)據(jù)。嚴格按照數(shù)據(jù)提取要求進行。
參考文獻:
[1] http://www.199it.com/archives/465044.html.
[2] http://www.cnii.com.cn/wlkb/rmydb/content/2017-01/25/content_1817224.htm?from=groupmessage&isappinstalled;=0.
[3] http://news.sina.com.cn/sf/news/2016-10-09/doc-ifxwrhpn9484468.shtml.
[4] http://jingyan.baidu.com/article/e5c39bf5a418e439d76033ee.html.
[5] 明日科技.Java從入門到精通(第四版)[M].化學(xué)工業(yè)出版社,2016.
[6] http://jingyan.baidu.com/article/4d58d541331cbd9dd4e9c0e2.html.
[7] 王李平,孫春雷,王琛,等。偽基站數(shù)據(jù)的電子取證分析[J].警察技術(shù),2016,5:56-58.
[8] http://safe.it168.com/a2016/1208/3059/000003059421.shtml.