偽基站電子數(shù)據(jù)內(nèi)容的提取分析

趙夏果　鄭潔

摘要：近年來，利用偽基站進行詐騙的案件越來越多，給人們的財產(chǎn)安全帶來嚴重威脅。在辦理偽基站案件時，如何提取偽基站設(shè)備中的數(shù)據(jù)內(nèi)容成為量刑的關(guān)鍵所在。針對這一問題，該文介紹了三種有效提取數(shù)據(jù)內(nèi)容的方法：軟件界面提取法、MySQL數(shù)據(jù)庫提取法及日志文件提取法，并使用Java語言編寫程序，將日志文件中的二進制串轉(zhuǎn)換成字符串，成功提取了日志文件中的短信內(nèi)容。

關(guān)鍵詞：數(shù)據(jù)內(nèi)容；MySQL；日志文件；偽基站；Java

中圖分類號：TN924 文獻標識碼：A 文章編號：1009-3044（2018）10-0058-03

1 引言

近年來，偽基站短信數(shù)量呈快速增長態(tài)勢，利用偽基站進行詐騙的案件時常發(fā)生。《2016年中國偽基站短信研究報告》[1]顯示：2016年3月份，360手機衛(wèi)士共攔截各類偽基站短信1.1億條，平均每天攔截偽基站短信約354.8萬條。在這些偽基站短信中，冒充95555的數(shù)量最多，高達766萬條，其次是冒充95588、10086、95533和95599等號碼的短信。接收偽基站短信的手機用戶中，其中中國移動用戶占89.4%，中國聯(lián)通用戶占9.5%，中國電信用戶占1.1%，主要是因為中國移動仍在使用GSM系統(tǒng)。從偽基站短信內(nèi)容來看，主要有廣告推銷類、違法類、詐騙類、賭博類、色情類、謠言類房地產(chǎn)推廣類等。

2016年，山東打擊治理電信詐騙成效顯著，全年共繳獲170余臺偽基站設(shè)備[2]。重慶警方在打擊治理利用偽基站進行詐騙方面也取得了顯著成效。據(jù)報道[3]：重慶市綦江區(qū)公安局2016年破獲一起特大偽基站系列詐騙案，搗毀詐騙團伙及窩點2個，抓獲嫌疑人11人，扣押贓款500余萬元，受害人涉及10余省市1000余人。截止到2016年7月20日，重慶警方共查獲26套設(shè)備，抓獲嫌疑人31人。可見，偽基站對人們的危害范圍之廣。目前市場上還沒有成熟的技術(shù)和檢驗工具來提取偽基站設(shè)備中的短信內(nèi)容，在辦理相關(guān)案件時，主要靠提取設(shè)備中的IMSI來量刑。因此，如何有效地提取偽基站設(shè)備中的短信內(nèi)容，對打擊偽基站詐騙案件有著重要意義。

2 準備工作

由于目前沒有成熟的設(shè)備和工具來提取偽基站設(shè)備中的短信內(nèi)容，本文作者使用Java語言編寫了提取短信內(nèi)容的小程序，在以后辦理此類案件時，就可以輕松的提取到偽基站短信內(nèi)容。

2.1 軟件的安裝

1） 首先從網(wǎng)站https：//www.eclipse.org/downloads/下載eclipse編譯軟件；

2） 其次從網(wǎng)站http：//www.oracle.com/technetwork/java/javase/downloads/jdk8-downlo

ads-2133151.html下載SDK軟件；

3） 安裝eclipse和SDK軟件并配置相應(yīng)路徑，具體參考文獻[4]；

SDK軟件安裝配置后，進行驗證是否安裝成功，如圖1所示表示安裝成功。

3 偽基站短信內(nèi)容提取

針對偽基站設(shè)備中IMSI數(shù)據(jù)的提取，王李平等人在文獻[5]中給出了三種提取方法，都成功提取了有效數(shù)據(jù)。但是針對短信內(nèi)容的提取目前還沒有成熟的工具。為此，本文將介紹下面三種短信內(nèi)容提取方法①。

3.1 軟件界面短信內(nèi)容提取

對鏡像文件進行仿真，啟動偽基站設(shè)備操作系統(tǒng)，登錄密碼默認為：123456。登錄系統(tǒng)后，在Ubuntu系統(tǒng)桌面會有圖2所示的GSMS界面，將鼠標移動至短信內(nèi)容欄，就可以查看發(fā)送的短信內(nèi)容。但是，這種方法最多只能查看一條信息的內(nèi)容，有時沒有內(nèi)容顯示。

3.2 數(shù)據(jù)庫文件短信內(nèi)容提取

偽基站設(shè)備的數(shù)據(jù)庫一般采用的是MySQL，其數(shù)據(jù)庫文件的存放位置為/var/lib/mysql/，提取出該文件夾下面的ibdata1、db.opt、和gsm_business.frm三個文件，復(fù)制到mysql的數(shù)據(jù)存放位置，使用Navicat for MySQL軟件打開，即可查看曾經(jīng)發(fā)送的短信內(nèi)容、時間、條數(shù)業(yè)務(wù)名稱和顯示的號碼等信息，如圖3所示。

3.3 日志文件短信內(nèi)容提取

日志文件中短信內(nèi)容的提取相比較上述兩種來說，難度更大，因為要從文件中的二進制轉(zhuǎn)換成字符串，一般技術(shù)人員無法完全提取。再者，短信內(nèi)容包含在系統(tǒng)日志文件syslog和GSMS軟件日志文件中，需要分別提取，有時會忽略syslog文件。由于syslog文件在系統(tǒng)中分成7個文件，在提取數(shù)據(jù)前需要將這7個文件合并成一個文件再進行提取。使用UltraEdit軟件打開日志文件，內(nèi)容如圖4所示，我們無法直接查看短信內(nèi)容。所以需要將亮條顯示行中18001891519之后的二進制進行轉(zhuǎn)換。

本文采用eclipse軟件編寫代碼提取、轉(zhuǎn)換短信內(nèi)容。Eclipse軟件的使用可參考文獻[5，6]，本文不再贅述。代碼的內(nèi)容分為三部分：（1）日志文件的讀入；（2）提取包含有短信內(nèi)容的二進制串；（3）將二進制串轉(zhuǎn)換成字符串。

（1）日志文件的讀入

（2）提取含有短信內(nèi)容的二進制所在行，并提取二進制

（3）二進制到字符串的轉(zhuǎn)換

分別讀取syslog和OpenBT日志文件，并運行上述代碼，分別得到下面圖5和圖6的結(jié)果。

4 結(jié)論

由于目前沒有成熟提取偽基站短信內(nèi)容的設(shè)備和工具，提出了三種有效的提取方法：GSMS軟件界面提取法、MySQL數(shù)據(jù)庫提取法及日志文件提取法。另外，針對目前很多技術(shù)人員無法有效地提取日志文件中的短信內(nèi)容，編寫了上述基于Java語言的代碼源程序，可以有效地提取短信內(nèi)容，提高了工作效率。

注釋：

① 在提取數(shù)據(jù)之前，需要對原始數(shù)據(jù)做鏡像，然后對鏡像文件進行仿真，提取數(shù)據(jù)。嚴格按照數(shù)據(jù)提取要求進行。

參考文獻：

[1] http：//www.199it.com/archives/465044.html.

[2] http：//www.cnii.com.cn/wlkb/rmydb/content/2017-01/25/content_1817224.htm？from=groupmessage&isappinstalled;=0.

[3] http：//news.sina.com.cn/sf/news/2016-10-09/doc-ifxwrhpn9484468.shtml.

[4] http：//jingyan.baidu.com/article/e5c39bf5a418e439d76033ee.html.

[5] 明日科技.Java從入門到精通（第四版）[M].化學(xué)工業(yè)出版社，2016.

[6] http：//jingyan.baidu.com/article/4d58d541331cbd9dd4e9c0e2.html.

[7] 王李平，孫春雷，王琛，等。偽基站數(shù)據(jù)的電子取證分析[J].警察技術(shù)，2016，5：56-58.

[8] http：//safe.it168.com/a2016/1208/3059/000003059421.shtml.