[科普中国]-SIM卡取证

介绍

SIM 卡在移动通信网络中 , 手机与 SIM 卡共同构成移 动通信终端设备。 SIM ( Sub sc ribe Iden tity Modu le ) 卡 即为客户识别模块 ,它也被称为用户身份识别卡。移 动通信网络通过此卡来对用户身份进行鉴别 ,并且同 时对用户通话时的语音信息进行加密。目前 , 常见 SIM 卡的存储容量有 8 kB、16 kB、32 kB 和 64 kB 这几 种 。从内容上看 , SIM 卡中所存储的数据信息大致可分为五类 :

( 1) SIM 卡生产厂商存储的产品原始数据 。

( 2)手机存储的固有信息 , 主要包括各种鉴权和加密信 息 、GSIM 的 IM S I码 、CDMA 的 M IN 码 、IM S I认证算法 、加密密匙生成算法 。

( 3 )在手机使用过程中存储的个人数据 ,如短消息 、电话薄 、行程表和通话记录信息 。

( 4 )移动网络方面的数据中包括用户在使用 SIM 卡过程 中自动存入和更新的网络服务和用户信息数据 ,如设置的周 期性位置更新间隔时间和最近一次位置登记时手机所在位置 识别号 。

( 5 )其它的相关手机参数 , 其中包括个人身份识别号

( P IN ) ,以及解开锁定用的个人解锁号 ( PU K)等信息 。

如今对手机 S IM 卡进行取证的常用方法有两 种 。一个是通过智能读卡器的设备来提取 S IM 卡中的数据。在此方法中读卡器只要使用符合欧洲电信 标准协会 TS31. 101 和 TS51. 011 标准的数据访问指 令集就可获取 S IM 卡中的数据 。另外一种方法是直 接通过指令操作来获得 S IM 卡中的数据。在 GSM 手 机的 TS27. 007 标准中特别定义了一个指令集来访问S IM 卡上的数据。

IOS设备取证使用其他工具创建手机备份，使用iBackupBot等工具浏览备份数据。SIM卡历史记录记录保存在”WirelessDomain /Library /Database /CellularUsage.db''文件中。

CellularUsage.db是SQLite数据库文件，可以使用免费的DB Browser for SQLite或iBackupBot自带的查看器查看，SIM卡历史记录保存在表“subscriber_info”中。如图所示。

subscriber_info字段即SIM卡的ICCID，subscriber_mdn字段即手机号，last_update_time字段即最后更新时间，为MAC Absolute Time时间格式。MAC Absolute Time时间记录的是2001年1月1日 00:00:00 UTC+0:00至今流逝的秒数，可以用免费的工具DCode进行转换。如图所示。

需要注意的是，last_update_time字段记录的最后更新时间与手机系统时间相关，如果手机时间不准，会影响此处的最后更新时间。图1所示的第二条记录中，“-978306735.184363”经过转换为1970年1月1日，显然是错误的时间。1

Android设备取证Android手机的SIM卡使用记录一般保存在data分区的“data \com .android .providers .telephony \databases \telephony.db”文件中,该文件也是SQLite数据库。表“sim_info”会记录使用过的SIM卡的ICCID、手机号等信息。如图所示。

注意事项上面分别介绍了iOS和Android设备提取SIM卡历史记录的方法，其中iOS设备不需要越狱，只要能创建iTunes备份即可；对于Android设备，由于相关信息保存在data分区，普通权限无法访问相关数据，一般需要root或制作镜像后才能进行分析。

SQLite数据库数据恢复技术是手机取证的基石之一，无论iOS还是Android，SIM历史记录都保存在SQLite数据库中，我们可以使用取证软件对上述文件进行处理，以获取删除的记录。