版權(quán)歸原作者所有,如有侵權(quán),請聯(lián)系我們

[科普中國]-SIM卡取證

科學百科
原創(chuàng)
科學百科為用戶提供權(quán)威科普內(nèi)容,打造知識科普陣地
收藏

介紹

SIM 卡在移動通信網(wǎng)絡(luò)中 , 手機與 SIM 卡共同構(gòu)成移 動通信終端設(shè)備。 SIM ( Sub sc ribe Iden tity Modu le ) 卡 即為客戶識別模塊 ,它也被稱為用戶身份識別卡。移 動通信網(wǎng)絡(luò)通過此卡來對用戶身份進行鑒別 ,并且同 時對用戶通話時的語音信息進行加密。目前 , 常見 SIM 卡的存儲容量有 8 kB、16 kB、32 kB 和 64 kB 這幾 種 。從內(nèi)容上看 , SIM 卡中所存儲的數(shù)據(jù)信息大致可分為五類 :

( 1) SIM 卡生產(chǎn)廠商存儲的產(chǎn)品原始數(shù)據(jù) 。

( 2)手機存儲的固有信息 , 主要包括各種鑒權(quán)和加密信 息 、GSIM 的 IM S I碼 、CDMA 的 M IN 碼 、IM S I認證算法 、加密密匙生成算法 。

( 3 )在手機使用過程中存儲的個人數(shù)據(jù) ,如短消息 、電話薄 、行程表和通話記錄信息 。

( 4 )移動網(wǎng)絡(luò)方面的數(shù)據(jù)中包括用戶在使用 SIM 卡過程 中自動存入和更新的網(wǎng)絡(luò)服務(wù)和用戶信息數(shù)據(jù) ,如設(shè)置的周 期性位置更新間隔時間和最近一次位置登記時手機所在位置 識別號 。

( 5 )其它的相關(guān)手機參數(shù) , 其中包括個人身份識別號

( P IN ) ,以及解開鎖定用的個人解鎖號 ( PU K)等信息 。

如今對手機 S IM 卡進行取證的常用方法有兩 種 。一個是通過智能讀卡器的設(shè)備來提取 S IM 卡中的數(shù)據(jù)。在此方法中讀卡器只要使用符合歐洲電信 標準協(xié)會 TS31. 101 和 TS51. 011 標準的數(shù)據(jù)訪問指 令集就可獲取 S IM 卡中的數(shù)據(jù) 。另外一種方法是直 接通過指令操作來獲得 S IM 卡中的數(shù)據(jù)。在 GSM 手 機的 TS27. 007 標準中特別定義了一個指令集來訪問S IM 卡上的數(shù)據(jù)。

IOS設(shè)備取證使用其他工具創(chuàng)建手機備份,使用iBackupBot等工具瀏覽備份數(shù)據(jù)。SIM卡歷史記錄記錄保存在”WirelessDomain /Library /Database /CellularUsage.db''文件中。

CellularUsage.db是SQLite數(shù)據(jù)庫文件,可以使用免費的DB Browser for SQLite或iBackupBot自帶的查看器查看,SIM卡歷史記錄保存在表“subscriber_info”中。如圖所示。

subscriber_info字段即SIM卡的ICCID,subscriber_mdn字段即手機號,last_update_time字段即最后更新時間,為MAC Absolute Time時間格式。MAC Absolute Time時間記錄的是2001年1月1日 00:00:00 UTC+0:00至今流逝的秒數(shù),可以用免費的工具DCode進行轉(zhuǎn)換。如圖所示。

需要注意的是,last_update_time字段記錄的最后更新時間與手機系統(tǒng)時間相關(guān),如果手機時間不準,會影響此處的最后更新時間。圖1所示的第二條記錄中,“-978306735.184363”經(jīng)過轉(zhuǎn)換為1970年1月1日,顯然是錯誤的時間。1

Android設(shè)備取證Android手機的SIM卡使用記錄一般保存在data分區(qū)的“data \com .android .providers .telephony \databases \telephony.db”文件中,該文件也是SQLite數(shù)據(jù)庫。表“sim_info”會記錄使用過的SIM卡的ICCID、手機號等信息。如圖所示。

注意事項上面分別介紹了iOS和Android設(shè)備提取SIM卡歷史記錄的方法,其中iOS設(shè)備不需要越獄,只要能創(chuàng)建iTunes備份即可;對于Android設(shè)備,由于相關(guān)信息保存在data分區(qū),普通權(quán)限無法訪問相關(guān)數(shù)據(jù),一般需要root或制作鏡像后才能進行分析。

SQLite數(shù)據(jù)庫數(shù)據(jù)恢復技術(shù)是手機取證的基石之一,無論iOS還是Android,SIM歷史記錄都保存在SQLite數(shù)據(jù)庫中,我們可以使用取證軟件對上述文件進行處理,以獲取刪除的記錄。

掃碼下載APP

京公網(wǎng)安備11010202008423號

京ICP備16016202號-1