Chi tiết kết quả khai thác dữ liệu trên SIM

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu kỹ thuật khai thác dữ liệu trên thiết bị điện thoại di động thông minh (Smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao (Trang 76 - 85)

3.3. KếT QUả THựC NGHIệM

3.3.2. Chi tiết kết quả khai thác dữ liệu trên SIM

Hiển thị thông tin vụ án Hiển thị chi tiết Hiển thị các tin nhắn (SMS) đã bị xóa

Tên Vụ án DB_HN01122010

Người tạo H49

Ngày tạo 29/9/2012 3:21:25 PM

MD5 hash 2CACCA3D3E991C4A7989172694F8187E

SHA-1 hash 44745E2C393BAC5178112F23E9DD9253A8FC15ED

Ghi chú

Gồm 3 ĐTDĐ Thông tin Plug-in

Loại Plug-in Thông tin về Plug-in

ExportPlugin TULP2G.Export.XML, Version=1.4.0.4, Culture=neutral,

PublicKeyToken=3480a3624ac48f93

PublicKeyToken=3480a3 24ac48f93

ConversionPlugin TULP2G.Conversion.SMS, Version=1.4.0.3, Culture=neutral,

PublicKeyToken=3480a3624ac48f93 Vụ án: Đánh bạc - Khai thác SIM ĐTDĐ

Điều tra viên H49

Ngày tạo 29/9/2012 4:08:59 PM

MD5 hash DA75179D16551F58C2960C9CFB4A9C6C

SHA-1 h sh A437F82547E0606AD49EF85DBCCBB2377C1663C7

MD5 SIM hash ACCB1C3974BEAFEEBC1EECE4877E5B06

SHA-1 SIM hash DB9798D0E1EE267D9EBA5F467D7CE56D6A62A1A7

Ghi chú

SIM của điện thoại Nokia2600c Thông tin Plug-in

Loại Plug-in Thông tin về Plug-in

ProtocolPlugi TULP2G.Protocol.ProtocolSIM@TULP2G.Protocol.SIM,

Version=1.4.0.7, Culture=neutral, PublicKeyToken=3480a3624ac48f93

CommunicationPlugin TULP2G.Communication.PCSC@TULP2G.Communication.PCSC,

Version=1.4.0.3, Culture=neutral, PublicKeyToken=3480a3624ac48f93

Loại thẻ

Thẻ chỉ có thể là thẻ SIM dùng cho mạng GSM hoặc thẻ USIM dùng cho mạng UMTS. SIM

Xác minh chủ thẻ - Card Holder Verification (CHV)

Dữ liệu trong SIM đƣợc bảo vệ bởi PINs. Mỗi khi đƣợc bật lên, điện thoại yêu cầu nhập mã PIN, mỗi một PIN bao gồm từ 4 đến 8 chữ số. Ta chỉ có 3 lần để thử nhập mã PIN. Sau 3 lần này, nếu số PIN nhập vào không đúng, dữ liệu đƣợc bảo vệ trong SIM sẽ bị khóa. Tuy nhiên ta có thể vô hiệu hóa việc khóa SIM này bằng PUK (PIN unbloking code - mã phá bỏ PIN). PUK bao gồm 8 chữ số và một số PIN mới. Có 10 lần để thử nhập mã PUK. Sau 10 lần thử, nếu mã PUK nhập vào không đúng, khả năng hủy bỏ mã PIN sẽ bị vô hiệu hóa vĩnh viễn. Bảng CHV liệt kê tất cả những thao tác CHV theo thứ tự thời gian hoàn thành trong suốt quá trình thử nghiệm. Có 2 loại thao tác:

Xác nhận

Mã PIN và/hoặc PUK đã đƣợc xác nhận

Số lần thực tế thử nhập mã PIN và trạng thái kích hoạt/ngắt của mã PIN.

PIN PUK PIN2 PUK2 Trạng thái 5 (ngắt) 10 3 10

Thẻ mạch tích hợp - Integrated Circuit Card(ICC)

SIM là thẻ nhận dạng thuê bao di động. Nội dung của thẻ SIM đƣợc tổ chức thiết lập các chuẩn giao tiếp quốc tế - Comité Consultatif International Téléphonique et Télégraphique (CCITT) - định nghĩa, bao gồm số nhận dạng công nghiệp chính (89), mã nƣớc, số nhận dạng nhà phát hành, và số thuê bao di động.

89840412550001208601 (Vietnam)

Nhận dạng thuê bao di động quốc tế - International Mobile Subscriber Indentity (IMSI)

Trong mạng GSM, IMSI là số nhận dạng duy nhất. Số này bao gồm mã nƣớc, mã nhà cung cấp mạng và số thuê bao.

452041255120860 (Viet Nam, )

Bảng các dịch vụ được SIM hỗ trợ

Bảng này tóm tắt tất cả những dịch vụ 1 thẻ SIM có thể hỗ trợ. Dựa vào bảng này, ta có thể biết chính xác dịch vụ nào đƣợc hỗ trợ; dịch vụ nào đã đƣợc kích hoạt. Tất cả dịch vụ trong danh sách này đƣợc lƣu trữ trong thẻ SIM.

Tên nhà cung cấp dịch vụ - Service Provider Name (SPN)

Dịch vụ mạng viễn thông mà điện thoại sử dụng sẽ đƣợc hiển thị trên máy điện thoại thông qua tên của nhà cung cấp dịch vụ (Service Provider Name - SPN)

VIETTEL (display of registered PLMN not required)

Số gọi tắt - Abbreviated dialling numbers

Tên và số điện thoại, đƣợc nhập vào và thay đổi bởi ngƣời sử dụng, có thể đƣợc chọn một cách dễ dàng bằng cách sử dụng điện thoại. Dữ liệu số đƣợc khôi phục đƣợc thể hiện dƣới dạng chữ nghiêng. Đối với những số dài đƣợc thể hiện dƣới dạng "...[4]", có nghĩa là những số còn lại đƣợc lƣu trong phần [4] của tệp mở rộng "Extension1".

Vị trí Tên Số

1 taxi a long 0912073418

2 Quy xe om 0978387068

3 A Chien ubnd q 0912095040

Cuộc gọi gần nhất - Last numbers dialled

Danh sách này bao gồm hầu hết những số đƣợc kết nối trong thời gian gần đây trong SIM (không phải tất cả các dòng điện thoại đều lƣu trữ thông tin này trong SIM). Những số liên lạc gần đây nhất nằm ở đầu danh sách. Đối với những số điện thoại đƣợc lƣu trong điện thoại hoặc SIM với

đầy đủ thông tin chi tiết, thì những thông tin này cũng đƣợc hiển thị trong danh sách. Đối với những số không thể kết nối liên lạc cũng đƣợc hiển thị trong danh sách này.

Vị trí Tên Số

1 0914624407

2 06943324

3 06943324

4 06943324

Lựa chọn ngôn ngữ - Language preference

Danh sách này, đƣợc nhập bởi nhà cung cấp thẻ và đƣợc điều chỉnh bởi chủ thuê bao, chỉ ra ngôn ngữ ƣu tiên của thuê bao theo thứ tự giảm dần. Sự ƣu tiên này có thể đƣợc sử dụng bởi điện thoại GSM để lựa chọn ngôn ngữ hiển thị một cách hợp lý nhất.

Mức độ ưu

tiên Nhóm mã Ngôn ngữ Mã hóa Loại tin nhắn Nén

1 0 (Language using the default

alphabet)

1

(English)

2...8 15 (Data coding / message

handling)

15 (8 bit

data) TE-specific

Mạng thông tin di động mặt đất công cộng - Public Land Mobile Network (PLMN)

Khi điện thoại không thể tìm đƣợc mạng đã đăng ký, ví dụ nhƣ vì lý do thuê bao đang ở nƣớc ngoài, điện thoại sẽ bắt đầu tìm kiếm mạng GSM khác. Việc tìm kiếm này diễn ra theo thứ tự của danh sách đƣợc hiển thị. Bằng cách này những nhà cung cấp mạng, và cả các chủ thuê bao, có thể lựa chọn mạng để sử dụng khi điện thoại nằm ngoài vùng phủ sóng.

Giai đoạn tìm kiếm mạng thông tin di động mặt đất công cộng chủ - Home PLMN (HPLMN)

Thòi gian mà điện thoại tìm kiếm mạng đã đăng ký kéo dài khoảng vài phút. Việc tìm kiếm này diễn ra khi điện thoại nằm trong quốc gia của chủ thuê bao, nhƣng đƣợc kết nối với mạng cạnh tranh khác.

5 (30 minutes)

Những mạng thông tin di động mặt đất công cộng bị cấm - Forbidden PLMNs

Danh sách này bao gồm những mạng GSM mà có thể đƣợc lựa chọn để kết nối một cách tự động bởi điện thoại. Mạng đƣợc hiển thị trong danh sách này bởi vì thông tin về mạng đƣợc nhà cung cấp mạng đƣa vào SIM hoặc bởi vì mạng mà điện thoại GSM cố gắng kết nối từ chối sự kết nối. Khi một kết nối bị từ chối đƣợc thêm vào danh sách, những kết nối đầu tiên trong danh sách sẽ bị xóa. Chủ thuê bao có thể cố gắng kết nối với các mạng nằm trong danh sách này bằng cách tự thiết lập cấu hình. Nếu kết nối thành công, mạng này sẽ không còn nằm trong danh sách.

Mức độ ưu tiên Quốc gia Mạng

3 452 (Viet Nam) 02 (Vinaphone)

4 452 (Viet Nam) 01 (Mobifone)

Thông tin khu vực

Mạng GSM bao gồm những điện thoại có nhiệm vụ thiết lập sóng truyền thông giữa những thuê bao di động và mạng. Các điện thoại trong cùng 1 khu vực đƣợc nhóm lại với nhau. Mỗi một điện thoại có nhiệm vụ cung cấp thông tin về khu vực của các thuê bao. Bằng cách này, nhà mạng có thể liên lạc đƣợc với các thuê bao GSM bằng cách gửi một tín hiệu tìm kiếm đến tất cả các điện thoại trong khu vực của các thuê bao GSM. Thông tin về khu vực gần đây nhất đƣợc lƣu trữ trong SIM:

TIMSI

IMSI tạm thời đƣợc điều chỉnh mỗi khi khu vực thay đổi nhằm đảm bảo rằng chủ thuê bao không thể bị tìm thấy.

Thời gian cập nhật

Giá trị này chỉ ra số lần một thuê bao cần thông báo cho nhà mạng về khu vực hiện thời. Dữ liệu này đƣợc sử dụng chỉ trong giai đoạn 1 (Phase 1)SIMs.

Trạng thái cập nhật

Trạng thái truyền thông tin về khu vực thuê bao. MCC

Quốc gia của khu vực thuê bao. MNC

Mạng phủ sóng khu vực thuê bao. LAC

Thông tin tham khảo về khu vực thuê bao.

TIMSI Thời gian cập nhật Trạng thái cập nhật

0xFFFFFFFF 255 LA_not_allowed

Thông tin về khu vực thuê bao

MCC MNC LAC

452 (Viet Nam) 0xFFFE

Thông tin về định vị GPRS

Mạng GSM bao gồm những điện thoại có nhiệm vụ thiết lập sóng truyền thông giữa những thuê bao di động và mạng. Các điện thoại trong cùng 1 khu vực đƣợc nhóm lại với nhau. Mỗi một điện thoại có nhiệm vụ cung cấp thông tin về khu vực của các thuê bao. General Packet Radio

Service (GPRS) là một dịch vụ truyền dữ liệu trong mạng GSM với cơ chế quản lý riêng. Những thông tin về khu vực thuê bao gần đây có liên quan đến GPRS đƣợc lƣu trữ trong SIM:

P-TIMSI

IMSI tạm thời cũng giống TMSI nhƣng hiện giờ dùng cho dịch vụ GPRS. Giá trị dấu hiệu P-TIMSI

Chỉ bằng cách kết hợp với P-TMSI hợp lệ, một ký hiệu P-TMSI đƣợc sử dụng bởi MS với mục đích nhận dạng và xác thực trong quá trình cập nhật đƣờng dẫn hoặc thủ tục cập nhật khu vực đƣờng dẫn.

Trạng thái cập nhật

Thông tin tham khảo về khu vực định tuyến. MCC

Quốc gia của khu vực đƣờng dẫn. MNC

Mạng phủ sóng khu vực đƣờng dẫn. LAC

Mạng phủ sóng khu vực đƣờng dẫn. RAC

Thông tin tham khảo về khu vực đƣờng dẫn.

P-TIMSI Giá trị dấu hiệu P-TIMSI Trạng thái cập nhật

0xFFFFFFFF 0xFFFFFF not_updated

Thông tin về khu vực thuê bao

MCC MNC LAC RAC

0xFFFE 0x00

Các kênh điều khiển quảng bá - Broadcast control channels

Các kênh điều khiển quảng bá là các kênh truyền thông mà máy điện thoại (đang trong tình trạng không kích hoạt) dùng để thực hiện trao đổi thông tin nhằm quyết định xem cell nào trong mạng đó là tối ƣu nhất cho việc truyền thông của nó. Mặc dù không đƣợc quy định rõ, danh sách lựa chọn là tần số của các cell lân cận đƣợc cell cuối cùng của mạng di động mặt đất công cộng (PLMN) chủ quảng bá mà điện thoại nằm trên mạng đó

47;48;51;54;56;58;59;62;63;64;

Các thông số Short Messages Service (SMS)

Những thông số đƣợc mạng điện thoại GSM sử dụng để gửi đi tin nhắn SMS. Mỗi thông số bao gồm những yếu tố sau:

Vị trí

Vị trí lƣu trữ của việc thiết lập thông số Tên

(Tùy chọn) mô tả thiết lập.

TP-Địa_chỉ_đích (TP-DestinationAddress) Số ngƣời nhận (thƣờng để trống).

TP-Địa_chỉ_trung_tâm_dịch_vụ (TP-ServiceCentreAddress) Số trung tâm dịch vụ, nơi mà tin nhắn đƣợc xử lý. TP-Thời_gian_có_hiệu_lực (TP-ValidityPeriod)

Thời gian có hiệu lực của một tin nhắn. Khi tin nhắn đƣợc gửi đi nhƣng ngƣời nhận không thể nhận đƣợc, trung tâm dịch vụ có thể hủy việc chuyển tin nhắn đó đi sau một khoảng thời gian nào đó.

Vị trí Tên Địa chỉ đích Địa chỉ trung tâm dịch vụ Thời gian có hiệu lực

1 SMS CENTER 1 +84980200030 7Ngày

Trạng thái tin nhắn SMS

Trạng thái tin nhắn SMS là thông tin tham khảo về các tin nhắn SMS gửi đi gần đây nhất và sự chỉ dẫn của bộ nhớ SIM sẵn có để lƣu trữ tin nhắn, để mạng GSM có thể cung cấp thông tin càng sớm càng tốt.

Sự tham khảo thông tin giao thức lớp chuyển đổi cuối cùng: 17, dung lƣợng bộ nhớ vƣợt trội: no.

Các tin nhắn SMS

Điện thoại di động có thể nhận và gửi tin nhắn. Những tin nhắn cũng có thể đƣợc gửi theo những cách khác nhau: ví dụ nhƣ qua Internet hoặc bằng cách gọi một số đặc biệt rồi ghi âm tin nhắn, tin nhắn này sẽ đƣợc chuyển đổi sang dạng văn bản và gửi đến điện thoại. Dƣới đây là các thành phần của một tin nhắn.

Vị trí

Vị trí lƣu trữ của tin nhắn. Loại Ext.

Loại tin nhắn theo điện thoại. Loại Int.

Loại tin nhắn theo bộ giải mã tin nhắn SMS. Phần

Vị trí lƣu trữ có thể là một phần của một tin nhắn đầy đủ chi tiết hơn. Thời gian

Thời gian này chính là thời gian mà trung tâm dịch vụ dịch vụ nhận đƣợc tin nhắn. Dữ liệu này đƣợc hiển thị dƣới dạng tháng-ngày-năm; tiếp theo sau là giờ:phút:giây (theo giờ quốc tế - GMT. Thời gian là thời gian địa phƣơng tại trung tâm dịch vụ.

Discharge timestamp

Tham số xác định thời gian liên kết với từng kết quả trạng thái riêng biệt Thời hạn hiệu lực

Khi một tin nhắn đƣợc gửi đi nhƣng ngƣời nhận chƣa thể nhận đƣợc, trung tâm dịch vụ sẽ chỉ thử gửi lại tin nhắn trong một khoảng thời gian có hạn định.

Địa chỉ trung tâm dịch vụ

Số của trung tâm dịch vụ, nơi tin nhắn đƣợc xử lý. Địa chỉ nguồn

Số ngƣời gửi Địa chỉ đích

Số ngƣời nhận

STT Loại Ext. Loại Int. Phần Thời gian

1 read TextMessageType All/1 04-04-06 21:28:57 GMT

Địa chỉ trung tâm dịch vụ Địa chỉ nguồn

+84980200030 +84989287089

Nội dung

Test chuong trinh khai thac du lieu tren SIM.

STT Loại Ext. Loại Int. Phần Thời gian

2 recovered TextMessageType All/1 02-04-06 19:11:01 GMT

Địa chỉ trung tâm dịch vụ Địa chỉ nguồn

+8491020005 +84914858686

Nội dung

KẾT LUẬN

Thực tiễn đã cho thấy tầm quan trọng của quá trình khai thác thông tin dữ liệu phục vụ cho công tác điều tra nhằm phòng, chống tội phạm công nghệ cao hiện nay. Đây là bài toán khá khó và khá mới mẻ. Luận văn đã nghiên cứu và tổng hợp đƣợc những kiến thức về thiết bị smartphone trên hệ điều hành WM.

Qua quá trình khai thác dữ liệu thực tế trong các vụ án kết hợp với lý thuyết các kỹ thuật khai thác dữ liệu trên bộ nhớ trong, ngoài và thẻ SIM. Tác giả đã xây dựng quy trình khai thác dữ liệu trên thiết bị smartphone để đảm bảo quá trình khai thác thông tin đạt hiệu quả cao.

Luận văn đã thực hiện quá trình nghiên cứu một số phần mềm cho phép khai thác dữ liệu hiệu quả trên thiết bị smartphone. Đồng thời, tác giả thực phát triển, thử nghiệm phần mềm cho phép khai thác thông tin dữ liệu trên SIM và bộ nhớ trong, ngoài smartphone trên hệ điều hành WM.

Trong phạm vi nghiên cứu, luận văn cũng đã thực hiện quá trình nghiên cứu các kỹ thuật khai thác dữ liệu trên thiết bị điện thoại di động nói chung và thực nghiệm khai thác dữ liệu trên thiết bị smartphone trên hệ điều hành WM nói riêng, từ đó tác giả xác định nghiên cứu, phát triển phần mềm khai thác thông tin dữ liệu trên SIM và bộ nhớ trong của smartphone trên hệ điều hành WM.

Với những lƣợng kiến thức đạt đƣợc qua luận văn, ta có thể áp dụng cho việc nghiên cứ phát triển thêm các kỹ thuật khai thác dữ liệu trên các hệ điều hành khác.

Hướng phát triển của luặn văn:

Một trong những định hƣớng mà tác giả dự định phát triển trong thời gian tới là mở rộng nghiên cứu kỹ thuật khai thác dữ liệu từ thiết bị di động thông minh nói chung trên các hệ điều hành nhƣ: Symbian, Android…

Xây dựng, phát triển phần mềm khai thác dữ liệu từ smartphone phục vụ cho công tác phòng, chống tội phạm công nghệ cao.

TÀI LIỆU THAM KHẢO

1. Baryamureeba, V. and Tushabe, F. (2004) The Enhanced Digital Investigation process Model. Digital Forensic Research Workshop.

2. Beebe, N.L. and Clark J.G. (2004) A Hierarchical Objectives-Based

Framework for the Digital Investigation Process. Digital Forensic Research Workshop.

3. Savoldi A. and Gubian P (2008). Data hiding and recovery on wince based handheld devices. In Fourth Annual IFIPWG 11.9 International Conference on Digital Forensics .

4. Breeuwsma M. Forensics imaging of embedded systems using JTAG (boundary-scan). In Digital Investigation, 2006, 3: 32-34.

5. C. Klaver (2010). Windows Mobile advanced forensics,

6. Ayers R, Jansen W, Cilleros N, Daniellou R. Cell Phone Forensic Tools: An Overview and Analysis. Online. National Institute of Standards and

Technology, 2005.

7. Boling D. Windows CE.NET advanced memory management. Online, msdn.microsoft.com/en-us/library/ms836325.aspx;

8. Rick Ayers, Wayne Jansen, Nicolas Cilleros, Ronan Daniellou (2005). Cell Phone Forensic Tools: An Overview and Analysis, NISTIR.

9. Detective Bob Elder (2012). Chip-Off and JTAG Analysis

10.Keonwoo Kim, Dowon Hong, and Jae-Cheol Ryu (2008). Forensic Data Acquisition from Cell Phones using JTAG Interface.

11.Wayne Jansen, Rick Ayers (2008). Guidelines on Cell Phone Forensics, NISTIR

12.Salvatore Fiorillo (2009). Theory and practice of flash memory mobile forensics.

13.How Windows CE .NET is Designed for Quality of Service. http://msdn.microsoft.com/en-us/library/ms836770.aspx

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu kỹ thuật khai thác dữ liệu trên thiết bị điện thoại di động thông minh (Smartphone) phục vụ công tác phòng, chống tội phạm công nghệ cao (Trang 76 - 85)

Tải bản đầy đủ (PDF)

(85 trang)