伪基站电子数据内容的提取分析

赵夏果　郑洁

摘要：近年来，利用伪基站进行诈骗的案件越来越多，给人们的财产安全带来严重威胁。在办理伪基站案件时，如何提取伪基站设备中的数据内容成为量刑的关键所在。针对这一问题，该文介绍了三种有效提取数据内容的方法：软件界面提取法、MySQL数据库提取法及日志文件提取法，并使用Java语言编写程序，将日志文件中的二进制串转换成字符串，成功提取了日志文件中的短信内容。

关键词：数据内容；MySQL；日志文件；伪基站；Java

中图分类号：TN924 文献标识码：A 文章编号：1009-3044（2018）10-0058-03

1 引言

近年来，伪基站短信数量呈快速增长态势，利用伪基站进行诈骗的案件时常发生。《2016年中国伪基站短信研究报告》[1]显示：2016年3月份，360手机卫士共拦截各类伪基站短信1.1亿条，平均每天拦截伪基站短信约354.8万条。在这些伪基站短信中，冒充95555的数量最多，高达766万条，其次是冒充95588、10086、95533和95599等号码的短信。接收伪基站短信的手机用户中，其中中国移动用户占89.4%，中国联通用户占9.5%，中国电信用户占1.1%，主要是因为中国移动仍在使用GSM系统。从伪基站短信内容来看，主要有广告推销类、违法类、诈骗类、赌博类、色情类、谣言类房地产推广类等。

2016年，山东打击治理电信诈骗成效显著，全年共缴获170余台伪基站设备[2]。重庆警方在打击治理利用伪基站进行诈骗方面也取得了显著成效。据报道[3]：重庆市綦江区公安局2016年破获一起特大伪基站系列诈骗案，捣毁诈骗团伙及窝点2个，抓获嫌疑人11人，扣押赃款500余万元，受害人涉及10余省市1000余人。截止到2016年7月20日，重慶警方共查获26套设备，抓获嫌疑人31人。可见，伪基站对人们的危害范围之广。目前市场上还没有成熟的技术和检验工具来提取伪基站设备中的短信内容，在办理相关案件时，主要靠提取设备中的IMSI来量刑。因此，如何有效地提取伪基站设备中的短信内容，对打击伪基站诈骗案件有着重要意义。

2 准备工作

由于目前没有成熟的设备和工具来提取伪基站设备中的短信内容，本文作者使用Java语言编写了提取短信内容的小程序，在以后办理此类案件时，就可以轻松的提取到伪基站短信内容。

2.1 软件的安装

1） 首先从网站https：//www.eclipse.org/downloads/下载eclipse编译软件；

2） 其次从网站http：//www.oracle.com/technetwork/java/javase/downloads/jdk8-downlo

ads-2133151.html下载SDK软件；

3） 安装eclipse和SDK软件并配置相应路径，具体参考文献[4]；

SDK软件安装配置后，进行验证是否安装成功，如图1所示表示安装成功。

3 伪基站短信内容提取

针对伪基站设备中IMSI数据的提取，王李平等人在文献[5]中给出了三种提取方法，都成功提取了有效数据。但是针对短信内容的提取目前还没有成熟的工具。为此，本文将介绍下面三种短信内容提取方法①。

3.1 软件界面短信内容提取

对镜像文件进行仿真，启动伪基站设备操作系统，登录密码默认为：123456。登录系统后，在Ubuntu系统桌面会有图2所示的GSMS界面，将鼠标移动至短信内容栏，就可以查看发送的短信内容。但是，这种方法最多只能查看一条信息的内容，有时没有内容显示。

3.2 数据库文件短信内容提取

伪基站设备的数据库一般采用的是MySQL，其数据库文件的存放位置为/var/lib/mysql/，提取出该文件夹下面的ibdata1、db.opt、和gsm_business.frm三个文件，复制到mysql的数据存放位置，使用Navicat for MySQL软件打开，即可查看曾经发送的短信内容、时间、条数业务名称和显示的号码等信息，如图3所示。

3.3 日志文件短信内容提取

日志文件中短信内容的提取相比较上述两种来说，难度更大，因为要从文件中的二进制转换成字符串，一般技术人员无法完全提取。再者，短信内容包含在系统日志文件syslog和GSMS软件日志文件中，需要分别提取，有时会忽略syslog文件。由于syslog文件在系统中分成7个文件，在提取数据前需要将这7个文件合并成一个文件再进行提取。使用UltraEdit软件打开日志文件，内容如图4所示，我们无法直接查看短信内容。所以需要将亮条显示行中18001891519之后的二进制进行转换。

本文采用eclipse软件编写代码提取、转换短信内容。Eclipse软件的使用可参考文献[5，6]，本文不再赘述。代码的内容分为三部分：（1）日志文件的读入；（2）提取包含有短信内容的二进制串；（3）将二进制串转换成字符串。

（1）日志文件的读入

（2）提取含有短信内容的二进制所在行，并提取二进制

（3）二进制到字符串的转换

分别读取syslog和OpenBT日志文件，并运行上述代码，分别得到下面图5和图6的结果。

4 结论

由于目前没有成熟提取伪基站短信内容的设备和工具，提出了三种有效的提取方法：GSMS软件界面提取法、MySQL数据库提取法及日志文件提取法。另外，针对目前很多技术人员无法有效地提取日志文件中的短信内容，编写了上述基于Java语言的代码源程序，可以有效地提取短信内容，提高了工作效率。

注释：

① 在提取数据之前，需要对原始数据做镜像，然后对镜像文件进行仿真，提取数据。严格按照数据提取要求进行。

参考文献：

[1] http：//www.199it.com/archives/465044.html.

[2] http：//www.cnii.com.cn/wlkb/rmydb/content/2017-01/25/content_1817224.htm？from=groupmessage&isappinstalled;=0.

[3] http：//news.sina.com.cn/sf/news/2016-10-09/doc-ifxwrhpn9484468.shtml.

[4] http：//jingyan.baidu.com/article/e5c39bf5a418e439d76033ee.html.

[5] 明日科技.Java从入门到精通（第四版）[M].化学工业出版社，2016.

[6] http：//jingyan.baidu.com/article/4d58d541331cbd9dd4e9c0e2.html.

[7] 王李平，孙春雷，王琛，等。伪基站数据的电子取证分析[J].警察技术，2016，5：56-58.

[8] http：//safe.it168.com/a2016/1208/3059/000003059421.shtml.