一种有效提取伪基站中短信内容的技术方案

xlysoft

【文章来源：效率源科技（微信号）】微信号：xiaolvyuantech

      编者按： 近年来，利用伪基站短信进行诈骗的案件呈现高增长的态势，给人们财产安全带来严重威胁。针对伪基站中的短信，目前缺乏成熟的检验分析方法，给案件的侦破和取证带来困难。为此，数据恢复四川省重点实验室科研人员将介绍一种伪基站短信提取的有效方案，为打击伪基站诈骗案件提供技术支持。

一、背景介绍

      近年来，伪基站短信数量不断攀升，利用伪基站短信进行诈骗的案件屡见不鲜。根据百度移动安全发布的报告：从2014年开始，中国伪基站短信数量不断攀升，仅2015年上半年，伪基站短信的总量就高达7亿条。其中，郑州、成都、长春、沈阳、大连、上海、广州、重庆、武汉等地也“受灾严重”。伪基站短信数量不断攀升，给人们的财产安全带来严重威胁。因此，研究一种提取伪基站中短信的可靠方案，对打击伪基站诈骗案件有重要意义。

图1：百度移动卫士发布的伪基站短信地区分布

二、伪基站短信内容提取难点

      针对“伪基站”中的短信信息，目前市场上缺乏成熟的对其进行检验分析的方法。技术人员往往只能提取到伪基站所干扰手机的IMSI，难以深入提取“伪基站”设备发送的具体短信内容。而现有的检验工具无法直接使用，也进一步加大了电子数据检验鉴定工作难度。

三、伪基站短信内容提取方案

      针对伪基站短信提取的难点，数据恢复四川省重点实验室科研人员对“伪基站”进行了全方位综合研究，在此基础上，制定了一套伪基站短信提取的有效方案。该方案通过查找与检验有关的短信数据记录，再通过数据解析，最终得到相关伪基站短信内容。

四、伪基站短信内容提取过程

　　1.数据搜索：查找与检验有关的短信数据记录

      （一）搜索伪基站中OpenBTS的日志文件OpenBTS.log。

       搜索伪基站中OpenBTS的日志文件OpenBTS.log，利用WinHex等工具进行查看分析，发现系统中与短信有关的数据可分为二个方面：分别与send.data和OpenBTS.log文件相对应。短信信息都存储在路径为“/var/lib/ mysql/gsms/ibdata/”下的数据库文件中，即使是删除的任务，在数据库中也可以找到记录。

      备注：虽然“计数”表示的是发送短信的数量，但这个数值在业务面板上是可以手工修改的。因此，用面板上的这一数量来直接获得的发送短信的数量有可能是不准确的。

     （二）搜索伪基站数据记录的软件运行日志信息。

      伪基站数据记录的软件日志文件存储路径为“/var/logs/OpenBTS. log”，该文件是OpenBTS软件运行的详细日志，文件中的每一行由时间（年月∕日∕时∕分∕秒格式）和运行记录组成，记录了“伪基站”设备运行、配置以及其与手机交互的相关信息，如位置更新、信令信息、用户IMSI等，如图2。

图2：OpenBTS文件内容示例　

　

2.数据解析：解析OpenBTS. log文件中的短信

      通过一个接收到伪基站短信内容的手机，可以发现伪基站在什么时间，发送什么短信给目标手机，如图3。

图3：接收短信图示

      目前，对伪基站中的短信进行数据提取，普遍采用的方法是利用关键字进行搜索。例如，针对图3中的手机短信内容，可以使用短信中的“农业银行”作为关键字，借助winhex的同步搜索功能，在伪基站日志文件中进行关键字搜索，以此判断有无短信内容，如图4。

图 4：按照编码搜索关键字

      通过winhex搜索，未发现关键字“农业银行”，如图5。很多人以此就认定，该日志文件中没有存储该短信内容，但真实的情况并非如此，下面我们将介绍如何提取日志中的短信内容。

图 5：搜索关键字的结果

      通过分析伪基站日志文件发现，短信内容是以Unicode big endian的编码，直接以16进制内容存放于日志文件中，如图6。

图6： OpenBTS. Log中短信内容

      将图6找到的短信内容以文本方式查看与保存，即可得到正常文件，其中0xFEFF是Unicode big endian文本的标识，将编码转换为Unicode big endian后，短信内容展现在右侧，如图7。

图7 ：短信编码与文本对应图

      备注：图 7中519c4e1a94f688等的十六进制值与图6 OpenBTS. Log日志文件中黄色记录的内容的是一致的

。

      值得注意的是，在OpenBTS. Log文件中还存在另外一类短信内容格式的数据，它将短信内容按照Unicode big endian编码格式转换，再将转换的结果以二进制数存储与OpenBTS. Log日志文件中；短信内容开始标记为“addsms”,结束为“from”，如图8。

图 8：以二进制存储的短信内容

       针对这种格式的数据，可以取图8中前四个字节的二进制值将其转换为十六进制数值：01011110 （=5E） 、 01111000（=78）、01111001（=79）、10001111(=8F)。

       将转换后的4个十六进制值以Unicode big endian编码格式按顺序排列，即可得到对应的文本，如图9。

图 9：短信编码与文本对应图

      注意：图 9中的5E 78 79 8F的二制值与图8中的二进制一一对应。

      通过以上步骤和方法，成功提取到伪基站中的所有短信内容。

小结

      随着伪基站案件的高速增长，研究伪基站短信提取，对打击利用伪基站短信进行诈骗的犯罪活动具有重要意义。本期，数据恢复四川省重点实验室科研人员介绍了一种通过查找与检验伪基站有关的短信数据记录，再通过数据解析，最终提取到伪基站中短信内容的方法，具有操作易行、准确度高等优势，大幅提升了国内目前伪基站短信提取技术的效率和水平。