OpenBTS框架简述:
当OpenBTS通过PBX收得手机发送的数据包,会到用户注册做事器要求更新手机位置信息,注册做事器处理完之后,OpenBTS发送命令与手机通信,并将发送短信的干系信息暂时保存在短信行列步队中。
伪基站事情事理剖析
伪基站操作界面如下图,个中包含了开启设备、还原设备、添加删除停息发送等操作,同时也会将数据库中的任务记录展示在界面上。
1)打开桌面上的gsms图标之后进入主界面,此时程序会查询gsms数据库中的短信发送任务并将查询到的结果显示在界面上,之后就可以进行勾选操作了。
2)设置各参数,然后点击“开启”按钮,程序会调用底层OpenBTS软件完成一系列初始化事情,之后伪基站进入待机状态。
3)编辑“显示号码”、“业务名称”和短信内容,然后点击“添加”可以添加一条短信息发送任务以供后续发送短信选择。此时,程序会向gsms数据库写入该条任务。
4)勾选列表中的短信发送任务可以进行“删除”、“停息”和“发送”操作。同样的,删除时会打消界面和数据库中相对应的短信发送任务同时删除OpenBTS内部短信行列步队中的对应短信。停息时会关照OpenBTS来停息发送任务同时更新界面中发送任务的任务状态。发送时程序会将任务id、发送号码、短信内容交给OpenBTS进行发送操作。
5)还原操作会删除send.data、gsms数据库记录以及TMSI.db数据库,使伪基站系统规复到初始状态。
取证目的
目前,不法分子造孽利用伪基站发送诱骗、骚扰、广告等信息让大规模的移动用户受到滋扰。根据最高公民法院《关于审理毁坏公用电信举动步伐刑事案件详细运用法律多少问题的阐明》中的干系规定,“造成二千以上不满一万用户通信中断一小时以上,或者一万以上用户通信中断不满一小时的”,以毁坏公用电信举动步伐罪处三年以上七年以下有期徒刑。
显然,导致用户中断有两种情形,一是用户收到伪基站发送的短信,二是用户接入伪基站。因此,伪基站取证的目的在于获取该伪基站影响的用户数、短信内容等信息从而给出合理的定罪。
关联文件伪基站一样平常利用ubuntu操作系统,文件系统利用EXT4可读写文件系统,或者squashfs只读文件系统,如果利用只读文件系统,掉电后数据丢失,须要在开机状态下进行取证。伪基站在运行的时候会产生一些数据库文件和一些日志文件。 表 2-1 列出了伪基站运行时产生的一些文件和浸染,通过这些文件的解析,获取关键证据信息。
文件名称文件描述文件存储位置ibdata1用于记录伪基站发送的短信\var\lib\mysql\OpenBTS.log伪基站软件运行日志,用于记录伪基站发送的短信\var\logsend.data用于记录IMSI与相对应的韶光戳\var\usr\OpenBTSTMSI.db用于记录任务ID和接管短信手机的IMSI\etc\OpenBTS\TMSI.dbrcS记录系统时区信息\etc\default表2-1 伪基站数据保存信息
伪基站取证剖析通过上文的剖析,我们可以知道伪基站一些关键数据均存在于表2-1文件中,通过解析这些文件,可以获取到一些证据信息。接下来我们就对每个文件的浸染及包含的信息进行剖析。
6.1 ibdata1
ibdata1用于记录伪基站发送的短信。ibdata1是mysql数据库文件,可以利用【伪基站数据规复工具】(注:美亚柏科自主研发的伪基站规复工具)进行解析。在 [数据库短信] 规复选项卡里,添加 ibdata1进行规复, 即可规复出正常的短信数据和被删除的短信数据。显示内容包括序号、任务ID、显示号码、业务名称、发送韶光、计数、短信内容、状态、是否删除等。详情见下图:
图 3-1 ibdata1规复结果
6.2 OpenBTS.log
该文件为伪基站运行日志文件,用于记录伪基站发送短信的干系信息,从中可以获取到发送号码、发送韶光、短信内容等信息。干系数据构造见图3-2、3-3
图3-2 一条发送短信日志的数据构造
图3-3 一条发送短信日志的数据构造
6.3 send.data
send.data用于记录IMSI与相对应得韶光戳。第一列为任务ID,是创建任务时的韶光戳(跟随系统时区),第二列为手机IMSI。
图3-7 Send.data文件内容
6.4 TMSI.db
TMSI.db用于记录任务ID和吸收短信手机的IMSI, IMSI即国际移动用户识别码, TMSI即临时移动用户识别码。TMSI.db为sqlite数据库文件,个中包含三张表,TMSI_TABLE(当前TMSI与IMSI的对应关系),sms(数据为空),sms_sent(发送短信的干系信息,该表可能为空)。TMSI_TABLE表的紧张浸染为鉴权利用。
图3-10 TMSI.db数据库的TMSI_TABLE表
6.5 rcS
rcS记录系统时区信息, 在取证中如果须要对犯罪韶光进行判别,那么就须要判断该系统的时区,以获取精确的韶光信息。 若该文件中有标志位“UTC=no”,解释系统韶光即为本地韶光。若为yes,则须要获取\etc\localtime文件中的内容,结合\usr\share\zoneinfo文件夹下的时区文件信息判断详细为哪个时区。
图3-13 localtime文件内容
图3-14 详细时区文件内容
总结:为了应对电信诱骗、垃圾广告等虚假信息,伪基站取证已经变得日益急迫,本文从伪基站系统的事情事理和伪基站的数据构造两个方面进行剖析,希望能从中获取有效的证据信息打击伪基站犯罪。美亚柏科作为海内打算机取证行业的领头羊,始终关注行业动向,看重产品的完善拓展,着力提升做事品质和用户体验。请关注美亚柏科的产品发布动态,及时获取最新版本的产品。
更多技能分享请关注微信公众年夜众账号:美亚柏科(ID:meiyapico)
