SIM卡取證

SIM 卡在移動通信網路中 , 手機與 SIM 卡共同構成移 動通信終端設備。 SIM ( Sub sc ribe Iden tity Modu le ) 卡 即為客戶識別模組 ,它也被稱為用戶身份識別卡。移 動通信網路通過此卡來對用戶身份進行鑑別 ,並且同 時對用戶通話時的語音信息進行加密。目前 , 常見 SIM 卡的存儲容量有 8 kB、16 kB、32 kB 和 64 kB 這幾 種 。從內容上看 , SIM 卡中所存儲的數據信息大致可分為五類 :

( 1) SIM 卡生產廠商存儲的產品原始數據 。

( 2)手機存儲的固有信息 , 主要包括各種鑒權和加密信 息 、GSIM 的 IM S I碼 、CDMA 的 M IN 碼 、IM S I認證算法 、加密密匙生成算法 。

( 3 )在手機使用過程中存儲的個人數據 ,如短訊息 、電話薄 、行程表和通話記錄信息 。

( 4 )行動網路方面的數據中包括用戶在使用 SIM 卡過程 中自動存入和更新的網路服務和用戶信息數據 ,如設定的周 期性位置更新間隔時間和最近一次位置登記時手機所在位置 識別號 。

( 5 )其它的相關手機參數 , 其中包括個人身份識別號

( P IN ) ,以及解開鎖定用的個人解鎖號 ( PU K)等信息 。

如今對手機 S IM 卡進行取證的常用方法有兩 種 。一個是通過智慧型讀卡器的設備來提取 S IM 卡中的數據。在此方法中讀卡器只要使用符合歐洲電信 標準協會 TS31. 101 和 TS51. 011 標準的數據訪問指 令集就可獲取 S IM 卡中的數據 。另外一種方法是直 接通過指令操作來獲得 S IM 卡中的數據。在 GSM 手 機的 TS27. 007 標準中特別定義了一個指令集來訪問S IM 卡上的數據。

使用其他工具創建手機備份，使用iBackupBot等工具瀏覽備份數據。SIM卡歷史記錄記錄保存在”WirelessDomain /Library /Database /CellularUsage.db''檔案中。

CellularUsage.db是SQLite資料庫檔案，可以使用免費的DB Browser for SQLite或iBackupBot自帶的查看器查看，SIM卡歷史記錄保存在表“subscriber_info”中。如圖所示。

subscriber_info欄位即SIM卡的ICCID，subscriber_mdn欄位即手機號，last_update_time欄位即最後更新時間，為MAC Absolute Time時間格式。MAC Absolute Time時間記錄的是2001年1月1日 00:00:00 UTC+0:00至今流逝的秒數，可以用免費的工具DCode進行轉換。如圖所示。

需要注意的是，last_update_time欄位記錄的最後更新時間與手機系統時間相關，如果手機時間不準，會影響此處的最後更新時間。圖1所示的第二條記錄中，“-978306735.184363”經過轉換為1970年1月1日，顯然是錯誤的時間。

Android手機的SIM卡使用記錄一般保存在data分區的“data \com .android .providers .telephony \databases \telephony.db”檔案中,該檔案也是SQLite資料庫。表“sim_info”會記錄使用過的SIM卡的ICCID、手機號等信息。如圖所示。

上面分別介紹了iOS和Android設備提取SIM卡歷史記錄的方法，其中iOS設備不需要越獄，只要能創建iTunes備份即可；對於Android設備，由於相關信息保存在data分區，普通許可權無法訪問相關數據，一般需要root或製作鏡像後才能進行分析。

SQLite資料庫數據恢復技術是手機取證的基石之一，無論iOS還是Android，SIM歷史記錄都保存在SQLite資料庫中，我們可以使用取證軟體對上述檔案進行處理，以獲取刪除的記錄。