“伪基站”数据现场取证方法

2017-10-24 08:41王小强金美顺朱元栋

中国人民公安大学学报（自然科学版） 2017年3期

徐炼，王小强，金美顺，朱元栋

(1.杭州市公安刑事科学技术研究所，浙江杭州 310000； 2.浙江省公安物证鉴定中心重点实验室，浙江杭州 310000；3.杭州平航科技有限公司，浙江杭州 310000)

“伪基站”数据现场取证方法

徐炼1，王小强1，金美顺2，朱元栋3

随着第二、三代“伪基站”的出现，对打击借助“伪基站”进行犯罪活动的需求不断提高，“伪基站”取证的场景从实验室转换到实践，并要求取证行动和侦查行动紧密结合。目前，市场上仍缺少实用性强、性能优良的取证设备。针对此问题，将伪基站取证设备、无线屏蔽设备等整合为综合取证设备。在此基础上，归纳总结“伪基站”现场取证方法，为相关技术人员提供参考。

电子数据；伪基站；远程提取；信号屏蔽

0 引言

“伪基站”设备近年来常以犯罪工具的角色出现在公众视野中，并呈泛滥之势扩散至全国各地，人民群众的合法权益遭到严重的威胁。如何打击此类型犯罪是司法部门亟待解决的问题。在办理此类案件过程中，“伪基站”设备的取证问题成为关键[1]。由于“伪基站”设备自身更新速度极快，对其取证一直存在较大难度。当前第二、第三代“伪基站”设备已经普及，传统的取证工具和取证方法已经不再适用，有些检验鉴定机构对新型“伪基站”取证的案例直接拒检。本文设计研发一套取证设备，并应用于实践，同时总结出取证方法和相关经验，供相关技术人员参考。

1 “伪基站”简介

1.1 “伪基站”的构成

“伪基站”设备是未取得电信设备进网许可和无线电发射设备型号核准的非法无线电通信设备，具有非法获取手机用户信息，强行向不特定手机用户发送短信息等功能，使用过程中会非法占用公共移动通信频率，局部阻断移动通信网络信号。由此可见, “伪基站”与真实基站无异，只是未获得电信设备进网许可，是非法使用的基站。

“伪基站”主要由信号控制端，无线电信号发射系统两个主要部分构成[2]。在工作过程中，无线电信号发射系统则较为稳定，而信号控制端更新迅速并且对取证方法影响大，是取证研究的重点。“伪基站”信号控制端内用户操作产生的控制信息、发送记录是取证的主要对象。

1.2 各代“伪基站”及证据特点

通常根据信号控制系统对“伪基站”进行划分，在取证过程中常将“伪基站”划分为以下几代：

(1)第一代“伪基站”

使用普通安装方式安装类Linux(比如Ubuntu)操作系统的计算机做为信号控制端，启动后所有控制信息、发送记录做为静态数据存放在计算机非易失存储中。关机后控制信息、发送记录等数据依然保留，并保留历史操作记录和发送数据。

(2)第二代“伪基站”

使用类linux live系统并预装“伪基站”软件的存储介质启动的计算机，使用计算机直接操作“伪基站”软件。启动后所有控制信息、发送记录做为动态数据存放在计算机易失性存储(内存)中。关机后，所有动态数据丢失，其中包含所有取证关键信息。

(3)第三代“伪基站”

同样使用类Linux live系统并预装“伪基站”软件的存储介质启动的计算机并直接操作“伪基站”软件，启动后所有控制信息、发送记录做为动态数据存放在计算机易失性存储(内存)中。关机后，所有易失数据丢失，同样包含所有取证关键信息。

第三代“伪基站”通过内置路由器建立无线局域网络，利用移动设备(一般为手机)以Web方式登入控制界面，操作更便捷。同时，部件微型化，集成度进一步提高，外观更具隐蔽性。并且第三代“伪基站”置入了可以关断电源的无线遥控开关，使得犯罪嫌疑人可能在被抓捕的短时间内通过无线遥控关断第三代“伪基站”电源，清空关键取证信息，使取证人员实施现场取证的成功率进一步降低。

图1 第三代 “伪基站”结构

图2 第三代 “伪基站”无线开关

2 “伪基站”数据取证技术现状及面临主要问题

2.1 “伪基站”数据取证技术现状

“伪基站”数据取证涉及法律适用和技术两方面问题，法律适用问题在各地情况不尽相同，而取证技术方面的问题却基本相同。“伪基站”数据的取证工具不断发展，手工取证与自动化程度较高的取证系统并存。

第一代伪基站控制端的取证方法已经较为成熟，其基本原理和操作方法都能找到较完整的参考，并且有相对成熟的取证工具，主要采取实验室检验，这里不再赘述[4]。

第二代，第三代“伪基站”，由于其控制端采用“无盘式”启动方式，具有“断电既丢失数据”的特点。实际办案过程中，在送到实验室和检验两个阶段，往往会因为各种原因断电而导致取证失败。

2.2 “伪基站”数据取证面临的问题

(1)实验室检验模式不再适用

新型“伪基站”取证只能在开机情况下进行，取证的技巧、时机对结果有直接的影响，普通侦查人员对该新型的“伪基站”设备不了解，实际中很难保证“带电”状态送检，为了保证电子物证提取成功，要求电子取证专业人员进行现场提取相关数据。

(2)缺乏成熟第二代和第三代“伪基站”数据取证工具

第二代和第三代“伪基站”取证工具尚不成熟，目前提取方法多采用手工提取方法，成型的取证工具处于测试阶段。

(3)无法阻止使用无线遥控关断电源

目前尚无有效控制这种情况发生的设备和方法。

(4)缺乏综合性取证设备

现场取证需携带多种用于缉查“伪基站”的设备。目前还没有具备高可用性的综合取证设备。

(5)没有完备的取证方法

电子取证人员配合侦查人员缉查“伪基站”需要准备一套完整的行动方案，既要保证取证的成功率，又要保证侦查人员成功抓捕犯罪分子。

3 解决方案

3.1 分析归纳问题

分析上述问题，可以将其归纳为3个层次。第一是工作模式转变，电子取证工作人员要从实验室检验转换至现场取证；第二是研发一套“伪基站”综合取证工具；第三是要建立一套较完善的取证方案，可以配合侦查工作。

3.2 “伪基站”数据现场综合取证工具设计和实现

3.2.1 “伪基站”信号控制端系统配置及综合取证工具总体设计思路

目前“伪基站”信号控制端由以下几部分组成：UBUNTU(操作系统)、GUNRADIO(软件无线电模块)、OPENBTS(开放基站控制模块)、通讯业务系统。其中通讯业务系统由后台数据库及WEB服务器端共同组成，后台数据库一般使用MYSQL数据库和SQLite数据库，WEB服务器一般使用APACHE。最终客户端可以通过WEB网页或QT客户端对“伪基站”信号控制端进行控制。后台数据库是提取电子物证的重点对象。

总体分析上述“伪基站”系统结构，设计了两个取证方案，一个是通过无线接口远程方式提取，另一个是本地接口方式提取。本文围绕上述思路设计了无线取证模块和本地取证模块，模块取得数据后使用数据解析模块最终完成取证，另外增加了无线干扰模块，尝试在15米内阻止犯罪嫌疑人使用民用普通无线遥控(国家规定发射功率小于10 MW)切断“伪基站”电源。

图3 两种取证思路示意图

图4 无线干扰示意图

3.2.2 无线取证模块

主要针对远程渗透提取方式而设计，如果在抓捕前顺利使用此种方法取证，可以在不惊动犯罪嫌疑人的情况下秘密取证，避免“断电”的操作风险。如果在抓捕后实现，亦可降低“断电”风险，提高取证成功率。

该模块首先接入“伪基站”设备内置的无线局域网，也可以采用有线的方式接入网络(属于本地取证方法)。在同一局域网环境中，获取被侦查“伪基站”的IP地址，利用开放WEB端口漏洞注入SQL语句的方式实现提取相关数据库文件。再使用“伪基站”取证分析软件解析相关文件。如果“伪基站”无线信号不佳，可配置高增益无线网卡天线改善接收质量。经实际测试，该模块实现功能达到设计了目标，提取界面如图5所示，提取内容可以参考本地取证模式提取的数据文件。

图5 无线取证模块实现界面

3.2.3 本地取证模块及附件

在现场对“伪基站”进行本地取证是最直接、成功率最高的取证方法，但是对操作技巧有较高要求，本文依照“伪基站”的硬件环境配置了专门的附件，配合“伪基站”取证分析软件构成该模块。该模块设计以本地方式获取以下数据文件和文件夹：

提取/etc/OpenBTS文件夹；提取/var/lib/mysql文件夹；提取/var/usr文件夹；其他可能与案件相关的数据文件。

提取的数据文件最终由“伪基站”取证分析软件解析。经实验室内和实际案件测试，模块均实现了设计要求，可以获取上述数据文件，某一实际案件结果截图，如图6所示。

图6 本地取证模块实现结果

带电移机模块是本地取证模块的必要补充，针对一些现场一时无法处理，但是具有整机移动可能性的“伪基站”通过利用带电移机模块和蓄电池及电缆快接工具等实现转移。市面有大量成熟实例可以参考，这里不再赘述。

3.2.4 “伪基站”数据解析模块

模块的主要功能是解析各类“伪基站”业务系统的后台数据库文件内容和相关的数据文件，具体如下：

MySQL数据库中解析存储“伪基站”发送短信的内容、创建时间、发送号码、发送数量等；SQLite数据库中解析及其他文件用于存储伪基站发送对象的IMSI号等信息；Send.data中解析任务ID、真实推送的IMSI数据；相关文本数据文件中解析出虚假的IMSI数据。

该模块较为成熟，已成功应用于相关的工作中，我们直接使用软件工具实现数据解析功能，实际案件中提取关键证据如图7所示，达到了功能要求。

图7 解析模块实现

3.2.5 无线屏蔽模块

该模块是为了防止嫌疑人在被抓捕的短时间内利用无线遥控器切断“伪基站”电源消灭证据而设计的，对无线遥控器的频率干扰范围是315 MHz±8 MHz的频段，可实现近距离(暂取15 m内)干扰民用无线遥控器发射。实际采用由NE555定时芯片构成的无稳态电路，产生锯齿波为VCO(压控振荡器)提供可变电压信号，VCO输出315 MHz干扰信号，经10 W放大电路实现信号输出，配合315 MHz±8 MHz的车载天线实现对遥控信号的干扰。

实际测试中，在干扰天线距离“伪基站”15 m，无线遥控器距离“伪基站”大于30 cm的情况下，模块实现了有效屏蔽无线遥控器信号的功能。另经无线辐射测试仪测试，距离干扰天线15 m时，射频辐射强度大于2 μW/cm2，距离无线遥控器30厘米时，射频辐射强度小于0.2 μW/cm2(不排除背景辐射，取平均值)，印证了上述结果，实现的屏蔽效果比设计预期要好。

图8 屏蔽模块设计图(部分)

图9 屏蔽模块实现图

3.2.6 模块集成及测试结果；

最后将上述模块进行了系统集成，设计的要求是实现所有工具集成后单人可以携带，最终实现了预期设计目标如下图所示：

图10 模块集成实现图

3.3 缉查“伪基站”典型场景

在此基础上，课题针对不同缉查“伪基站”缉查对象，在实践中摸索出一套相对完善的取证方法，根据“伪基站”不同使用场景，采取不同的取证方法。

3.4 车载“伪基站”缉查取证方法

3.4.1 尝试远程渗透提取方法

在没有更多情报支持的情况下，应先假设对象车内有开机状态的“伪基站”设备，在距离“伪基站”15 m范围内，可尝试远程渗透法提取证据[3]。

操作经验：

(1)首先尝试远程渗透提取，如果失败是指未发现、无法确定可疑无线网络信号，或者发现可疑型号使用默认密码无法解密的情况。

(2)这种尝试在对象车静止的情况下效果更佳。如果对象车移动但我方跟车较近且相对稳定的情况下也可尝试，但是不要过于执着，行不通应该放弃。

(3)如果在无线网络信号源较少的地区，可以尝试使用高增益的无线网卡远程渗透，可以大大提高传输稳定性。如果使用无线网络信号源较多且不明确对象无线网络名称的区域，就不适用高增益无线网卡。

3.4.2 开启无线屏蔽配合控制对象：

如果侦查人员决定开始控制对方车辆或者人员，应当提前打开无线屏蔽配合抓捕行动。

操作经验：

(1)推荐在最靠近对象车的我方车辆上配置无线屏蔽器。如果屏蔽器功率足够，可以放宽与对象车的距离。

(2)可以在行动前才放置或升起屏蔽天线，减少被前期发现的可能性。

(3)应注意收集对象使用的无线遥控器型号信息，如果发现发射频率不在干扰范围之内，下次缉查行动应考虑更新屏蔽器配置。

(4)对象切断“伪基站”电源的方法有很多，不能只单纯使用屏蔽器，仅将其做为辅助手段。

3.4.3 实施本地提取

在控制对方后，采用本地提取的方式提取“伪基站”数据。在对象车上寻找“伪基站”，并确定其类型，配合拆机套件进行本地提取。

操作经验：

(1)如果发现是第二、三代新型“伪基站”要按照先远程方式提取再拆机本地提取的方式进行，因为此时能较容易的确定对象无线网络信号，渗透的可能性变大。

(2)应注意保障“伪基站”的供电。

(3)现场不能处理的机型，最后考虑“带电移机”，使用带电移机附件，将待检“伪基站”移至实验室处理。

3.5 便携式“伪基站”取证方法

一般指非机动车携带和人背携带的“伪基站”。取证方式基本和车载对象的取证方式相同，区别在于对象小型化且活动的复杂度增大，导致了取证方式需要改变。

操作经验：

(1)取证人员应根据实际情况决定是否放弃前期远程渗透提取，而直接采用抓捕后的本地提取方式。

(2)无线屏蔽设备仍可使用，可以采用更小型化的设备(更容易隐藏和携带，减小发射功率)配合更近的距离(明显提高干扰效果)进行干扰。

4 结语

依照本文叙述的综合取证工具设备和在此基础上论述的“伪基站”数据现场取证方法，本鉴定中心配合侦查部门在多起案件成功提取到了新型“伪基站”的数据(其中包含省内首例提取到新型“伪基站”数据的案件)，证明该方法一定程度上可以解决现阶段“伪基站”取证难题。从通讯技术发展的角度看，目前各大通讯网络提供商的尚在使用2 G信号，特别是一些信号覆盖不佳的地区，可以预见“伪基站”还将存在一段时间[4]，这个领域的取证问题还将被继续研究，“伪基站”数据现场取证方法是这个过程中必经的一个阶段。

[1] 唐海娟. “伪基站”类案件入罪困境破解[J].人民检察， 2017(1):76-77.

[2] 朱赛赛.OpenBTS信号处理和无线资源管理的研究[D].济南：山东大学，2012.

[3] 王洪庆，王即墨，计超豪，等. “伪基站”数据取证研究[J]. 刑事技术，2015(6):435-439.

[4] 冯玲莉.4G手机用户受“伪基站”侵害成因分析与对策研究[J].信息通信，2017(1):256-257.

(责任编辑于瑞华)

D918.2

浙江省刑事科学技术应用重点实验室开放基金项目(ZGWJ-KF2016005)。

徐炼(1981—)，男，浙江杭州人，硕士，高级工程师。研究方向为电子取证技术。