1 引言

在电子数据取证分析工作中，我们常常遇到手头上的电子数据取证分析工具预设的数据提取策略无法满足提取解析个别小众的或基于违法犯罪目的开发的特别的应用程序数据，也无法进行数据恢复等操作，给取证工作的开展带来诸多不便。目前，通常的应对做法是使用Encase、X-Ways Forensics、UFED Physical Analyzer和Digatal Forensics Framework等电子数据取证分析工具自带的脚本编译器编程提取解析数据，但此种方法仍然会受到取证软件本身设计的一些限制导致有时不能达到理想的取证效果。为填补这一漏洞，使得对这一类特殊应用程序的取证可以达到最佳效果，满足不同实战环境的取证要求，本文以一种非典型“伪基站”的主程序日志文件的编程取证为例，提出了一种根据不同应用场景使用Python编程解决特殊应用程序数据提取的思路，在实战中取得较好的效果。当然，除此之外还可以使用C/C++、C#、Java甚至Linux Shell编程实现相同的效果。本文在此只介绍Python一种。件“”存储有已发送的短信内容。

2 “伪基站”案件的取证要点

目前，国内办理的“伪基站”案件的行为性质大部分为非法使用“伪基站”设备干扰公用电信网络信号、危害公共安全，依照《刑法》第一百二十四条第一款的规定，以破坏公用电信设施罪追究刑事责任；同时构成虚假广告罪、非法获取公民个人信息罪、破坏计算机信息系统罪、扰乱无线电通讯管理秩序罪的，依照处罚较重的规定追究刑事责任。除法律、司法解释另有规定外，利用“伪基站”设备实施诈骗等其他犯罪行为，同时构成破坏公用电信设施罪的，依照处罚较重的规定追究刑事责任[1]。

针对非法使用“伪基站”设备干扰公用电信网络信号、危害公共安全行为，最高人民法院公布了相关司法解释：造成2000以上不满1万用户通信中断1小时以上，或者1万以上用户通信中断不满1小时的；在一个本地网范围内，网间通信全阻、关口局至某一局向全部中断或网间某一业务全部中断不满2小时或者直接影响范围不满5万（用户×小时）的；造成网间通信严重障碍，1日内累计2小时以上不满12小时的，属于刑法第一百二十四条规定的“危害公共安全”，依照刑法第一百二十四条第一款规定，以破坏公用电信设施罪处3年以上7年以下有期徒刑[2]。

根据上述“伪基站”案件的量刑依据，可知“伪基站”案件的取证要点主要有“伪基站”已发送的短信内容、“伪基站”的操作系统时间、“伪基站”的中断用户通信的时间段和被“伪基站”中断通信的用户数量。其中，获取“伪基站”已发送的短信内容是“伪基站”案中电子取证的一个难点。

3 “伪基站”已发送短信内容的存储位置

嫌疑人使用“伪基站”发送短信时，通常会在“伪基站”主界面、“伪基站”的MySQL数据库文件“ibdata1”、“伪基站”的系统日志“syslog”系列文件和“伪基站”的主程序日志文

4 应用背景简介

工作中发现一种非典型的“伪基站”软件，该软件操作主界面无数据显示，且通过Linux Shell命令登录“伪基站”的MySQL数据库发现“伪基站”主程序的相关记录也被清空，无法用常规方法及取证软件对软件界面及数据库中存储的发送信息条数、发送信息内容等定案关键数据进行恢复提取。经对该软件的结构及文件内容反复研究，我们发现软件的一个日志文件“”中存储有大量的可疑数据，于是决定以此为切入点，尝试采用以下解密方式恢复该日志文件中的内容，从而达到既定的获取该“伪基站”软件发送出去的手机短信息内容的取证目的。

5 “”中短信内容的手工提取解析过程

提出该算法的主要思路是，根据“伪基站”软件数据库及日志文件中存储数据的一般结构，先用关键字“addsms”将所有的疑似涉案数据二进制文件提取出来，然后根据网络上较常见的木马程序等加密解密的规则，先手工将这些二进制文件解密成正常能阅读的汉语言文字，再用编程的方式，实现取证的自动化，大大减少取证人员的重复工作量，提高取证效率。经反复试验，现将手工解密的原理介绍如下：将检材的备份镜像文件中路径“/var/log/”下的“”计算SHA-256值后复制到专用U盘。启动杀毒软件对电子物证检验工作站系统进行杀毒，杀毒结果显示电子物证检验工作站系统为安全。将专用U盘通过只读方式连接到电子物证检验工作站，打开Terminal，进入到“/media/root/761E61A1E35D3B9/”目录下，校验“”SHA-256值一致性后，使用“cat | grep 'addsms' | head-2”，命令运行结果如图1所示。

文章来源：《电脑编程技巧与维护》 网址: http://www.dnbcjqywh.cn/qikandaodu/2020/1227/649.html