[科普中國]-SIM卡取證

介紹

SIM 卡在移動通信網絡中 , 手機與 SIM 卡共同構成移 動通信終端設備。 SIM ( Sub sc ribe Iden tity Modu le ) 卡 即為客戶識別模塊 ,它也被稱為用戶身份識別卡。移 動通信網絡通過此卡來對用戶身份進行鑒別 ,并且同 時對用戶通話時的語音信息進行加密。目前 , 常見 SIM 卡的存儲容量有 8 kB、16 kB、32 kB 和 64 kB 這幾 種 。從內容上看 , SIM 卡中所存儲的數據信息大致可分為五類 :

( 1) SIM 卡生產廠商存儲的產品原始數據 。

( 2)手機存儲的固有信息 , 主要包括各種鑒權和加密信 息 、GSIM 的 IM S I碼 、CDMA 的 M IN 碼 、IM S I認證算法 、加密密匙生成算法 。

( 3 )在手機使用過程中存儲的個人數據 ,如短消息 、電話薄 、行程表和通話記錄信息 。

( 4 )移動網絡方面的數據中包括用戶在使用 SIM 卡過程 中自動存入和更新的網絡服務和用戶信息數據 ,如設置的周 期性位置更新間隔時間和最近一次位置登記時手機所在位置 識別號 。

( 5 )其它的相關手機參數 , 其中包括個人身份識別號

( P IN ) ,以及解開鎖定用的個人解鎖號 ( PU K)等信息 。

如今對手機 S IM 卡進行取證的常用方法有兩 種 。一個是通過智能讀卡器的設備來提取 S IM 卡中的數據。在此方法中讀卡器只要使用符合歐洲電信 標準協(xié)會 TS31. 101 和 TS51. 011 標準的數據訪問指 令集就可獲取 S IM 卡中的數據 。另外一種方法是直 接通過指令操作來獲得 S IM 卡中的數據。在 GSM 手 機的 TS27. 007 標準中特別定義了一個指令集來訪問S IM 卡上的數據。

IOS設備取證使用其他工具創(chuàng)建手機備份，使用iBackupBot等工具瀏覽備份數據。SIM卡歷史記錄記錄保存在”WirelessDomain /Library /Database /CellularUsage.db''文件中。

CellularUsage.db是SQLite數據庫文件，可以使用免費的DB Browser for SQLite或iBackupBot自帶的查看器查看，SIM卡歷史記錄保存在表“subscriber_info”中。如圖所示。

subscriber_info字段即SIM卡的ICCID，subscriber_mdn字段即手機號，last_update_time字段即最后更新時間，為MAC Absolute Time時間格式。MAC Absolute Time時間記錄的是2001年1月1日 00:00:00 UTC+0:00至今流逝的秒數，可以用免費的工具DCode進行轉換。如圖所示。

需要注意的是，last_update_time字段記錄的最后更新時間與手機系統(tǒng)時間相關，如果手機時間不準，會影響此處的最后更新時間。圖1所示的第二條記錄中，“-978306735.184363”經過轉換為1970年1月1日，顯然是錯誤的時間。1

Android設備取證Android手機的SIM卡使用記錄一般保存在data分區(qū)的“data \com .android .providers .telephony \databases \telephony.db”文件中,該文件也是SQLite數據庫。表“sim_info”會記錄使用過的SIM卡的ICCID、手機號等信息。如圖所示。

注意事項上面分別介紹了iOS和Android設備提取SIM卡歷史記錄的方法，其中iOS設備不需要越獄，只要能創(chuàng)建iTunes備份即可；對于Android設備，由于相關信息保存在data分區(qū)，普通權限無法訪問相關數據，一般需要root或制作鏡像后才能進行分析。

SQLite數據庫數據恢復技術是手機取證的基石之一，無論iOS還是Android，SIM歷史記錄都保存在SQLite數據庫中，我們可以使用取證軟件對上述文件進行處理，以獲取刪除的記錄。