The present invention discloses electronic data forensics method for pseudo base station and its system. The method comprises the following steps: acquiring pseudo base station software and log files on the pseudo base station; the pseudo base station software decompile, software code; analysis of the software code, log files, text structure characteristics to the pseudo base SMS message the influence of IMSI and the IMSI structure characteristic; obtain a pseudo base station log file; according to the text structure and the structure characteristics of IMSI, extracting information from text messages in the log file and the impact of IMSI information. Starting from the pseudo base station operation principle perspective, in-depth analysis of the operation process of the data file, can quickly extract key data to generate the complete operation of the pseudo base station equipment, and the identification of cases of pseudo base crime sentencing types play an important role, more comprehensive, more accurate and rapid.
【技术实现步骤摘要】
本专利技术涉及电子数据取证
,尤其涉及一种伪基站的电子数据取证方法及其系统。
技术介绍
伪基站设备是指未取得电信设备进网许可和无线电发射设备型号核准的非法无线电通信设备,具有搜索手机用户信息,强行向不特定用户发送短信息等功能,使用过程中会非法占用公众移动通信频率,局部阻断公众移动通信网络信号。从技术上讲是由于2G的GSM(GlobalSystemforMobileCommunications全球移动通讯系统)单向认证漏洞而产生的,即只能网络对卡鉴权,卡无法鉴权网络,且GSM系统中的加密不是端到端的,只是在无线信道部分即MS(MobileStation移动终端)和BTS(BaseTransceiverStation基站收发器)之间进行加密。伪基站设备一般由笔记本电脑和无线发送设备组成,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。伪基站设备实施违法犯罪是一种新型犯罪,它具有流动性强、违法成本低、可以随意更改发送号码等特点,涉及地域广、社会危害大,严重危害国家通讯安全,扰乱社会公共秩序,影响人民群众安全感,因此打击伪基站违法犯罪活动势在必行。目前,伪基站犯罪案件的取证方法,有从移动运营商获取受影响手机数量报告、无线电管理委员会出具的伪基站设备鉴定报告等方式,缺少从伪基站运行原理角度出发,针对伪基站软件运行过程中产生的数据文件进行电子取证的技术,以确定量刑所需要的伪基站短信内容和发送数量、被中断的IMSI数量等关键信息。目前对伪基站的研究都是对伪基站的识别、定位技术的研究,缺少对伪基站电子数据取证技术的研究。专利技术内 ...
【技术保护点】
一种伪基站的电子数据取证方法,其特征在于,包括:获取伪基站上的伪基站软件和日志文件;将所述伪基站软件进行反编译,得到软件代码;分析所述软件代码以及日志文件,得到伪基站的短信信息的短信结构特征和受影响IMSI信息的IMSI结构特征;获取一伪基站的日志文件;根据所述短信结构特征和IMSI结构特征,从所述日志文件中提取短信信息和受影响IMSI信息。
【技术特征摘要】
1.一种伪基站的电子数据取证方法,其特征在于,包括:获取伪基站上的伪基站软件和日志文件;将所述伪基站软件进行反编译,得到软件代码;分析所述软件代码以及日志文件,得到伪基站的短信信息的短信结构特征和受影响IMSI信息的IMSI结构特征;获取一伪基站的日志文件;根据所述短信结构特征和IMSI结构特征,从所述日志文件中提取短信信息和受影响IMSI信息。2.根据权利要求1所述的伪基站的电子数据取证方法,其特征在于,所述短信结构特征包括:短信信息以第一固定字符串开头,以第一结束标志字符结尾;所述IMSI结构特征包括:受影响IMSI信息以第二固定字符串开头,以第二结束标志字符结尾;所述“根据所述短信结构特征和IMSI结构特征,从所述日志文件中提取短信信息和受影响IMSI信息”具体为:依次获取所述日志文件中的一行数据作为当前行数据;根据特征匹配算法,检测当前行数据中是否存在与所述第一固定字符串匹配的第一匹配字符串或与第二固定字符串匹配的第二匹配字符串;若存在,则在当前行数据中获取以所述第一匹配字符串开头,以所述第一结束标志字符结尾的第一信息字符串,或以所述第二匹配字符串开头,以所述第二结束标志字符结尾的第二信息字符串;获取所述第一信息字符串中的二进制数字符串,并将所述二进制数字符串中的字符转换为Unicode,得到短信信息;获取所述第二信息字符串中的十进制数字符串,得到受影响IMSI信息。3.根据权利要求2所述的伪基站的电子数据取证方法,其特征在于,所述特征匹配算法具体为:将当前行数据的字符串作为文本串T,将第一固定字符串或第二固定字符串作为模式串P,将所述文本串T与所述模式串P左对齐;从右向左遍历模式串P的字符,判断所述字符是否与其在文本串T中对齐的字符匹配;若模式串P的最后一个字符P[m]与文本串T中的第i+m个字符T[i+m]不匹配,则判断文本串T中第i+m+1个字符T[i+m+1]是否存在于模式串P中,其中,m为模式串P的长度,模式串P的第一个字符P[1]与文本串T中的第i+1个字符T[i+1]对齐;若不存在,则将模式串P向右移动m+1个字符位置;若存在,则将模式串P向右移动m+1-max(k)个字符位置,其中,P[k]=T[i+m+1],1≤k≤m;若模式串P的第j+1个字符P[j+1]至第m个字符P[m]所组成的第一后缀已匹配成功,且第j个字符P[j]匹配不成功,则判断模式串P的第一个字符P[1]至第j个字符P[j]中是否存在与所述第一后缀相同的子串P[t-(m-j-1)]-P[t];若存在,则将所述模式串P向右移动m-max(t)个字符位置,其中,1≤t≤j;若不存在,则判断所述模式串P的第一个字符P[1]至第j个字符P[j]中是否存在与所述第一后缀的第二后缀P[m+1-t]-P[m]相同的第一前缀P[1]-P[t];若存在,则将所述模式串P向右移动m-max(t)个字符位置,其中,1≤t<m-j;若不存在,则将所述模式串P向右移动m个字符位置。4.根据权利要求3所述的伪基站的电子数据取证方法,其特征在于,若i+m大于当前行数据的长度,则判定当前行数据中不存在与所述第一固定字符串匹配的第一匹配字符串或与第二固定字符串匹配的第二匹配字符串;获取下一行数据作为当前行数据;继续执行所述根据特征匹配算法,检测当前行数据中是否存在与所述第一固定字符串匹配的第一匹配字符串或与第二固定字符串匹配的第二匹配字符串的步骤。5.根据权利要求1所述的伪基站的电子数据取证方法,其特征在于,所述“获取一伪基站的日志文件”之后,进一步包括:通过基本输入输出系统获取伪基站的系统时间;对比所述系统时间与标准北京时间,若一致,则判定伪基站的系统时间为标准北京时间;若不一致,则根据操作系统时间配置文件,判断操作系统是否采用协调世界时;若是,则判定伪基站的系统时间为协调世界时;若否,则将存有操作系统时区设置信息的文件的MD5值与对应各时区设置信息的文件的MD5值进行哈希比对,得到伪基站...
【专利技术属性】
技术研发人员:苏再添,石奥迪,沈长达,吴少华,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。