关于SIM卡取证的分析学习

渗透技巧 1年前 (2023) admin
454 0 0

前言

当今几乎所有人都拥有一部移动电子设备,其中的SIM(用户身份识别模块),其中也存在着许多有价值的信息,所以关于SIM卡的取证也是非常重要的一环。

参考书籍:《电子数据取证》

正文

SIM卡一般是作为电信运营商作为其用户接入网络的凭证,因此主要作用是用户鉴别。但是它还有一个功能,就是用来存储联系人、呼叫记录和短信。当在原始设备提取不到信息的时候,可以从SIM卡中读取恢复。

SIM卡的文件系统树中有三类标识符,即主文件(MF)、专有文件(DF)和基本文件(EF)。每种文件系统识别符包含头部和主体。文件头部包含文件的类型、文件属性和权限信息。

主文件是SIM卡文件系统的根目录,起始位置为内存地址0x3F00.

                        这里是通过硬件采集后的SIM卡文件目录。

关于SIM卡取证的分析学习

关于SIM卡的数据采集,如果遇到存在PIN码的时候,可以通过ICCID从电信运营商获取PUK码,ICCID可以通过SIM卡的文件系统获取,或者卡表面记录。

一般联系人存储在基本文件6F3A中。号码记录的第一个字节表示号码的长度。下一个字节为十六进制数字0x81或者0x91。如果号码是未知号码,则为0x81;如果联系人号码是国际号码,则为0x91。

联系人号码:

用winhex打开6F3A文件

关于SIM卡取证的分析学习

定位到这个叫Doctor的联系人,第一个字节的值为06,代表6个字节存储。接下来一个字节为0x81,代表是就是本地或者未知号码。剩余的03 91 27 40 00, 书中所讲是以反向半字节格式存储,因此其代表301-972-0400。

短信记录:

短信一般存储在6F3C中,其中信息一般包括服务中心信息、联系人号码、时间戳和消息正文。短信的第一个记录是短消息服务中心(SMSC)记录。第一个字节用(0x01,0x00)来代表已读还是已删除,第二个字节表示服务中心号码所使用的字节数。

发送者号码在短消息服务中心号码之后。第一个字节以十进制的形式表示发送者号码的长度。第二个字节表示为号码类型(0x81和0x91,作用同上)。

发送者号码后相隔两个字节记录短信的时间戳。时间戳前面的字节表示消息正文的编码方式。一般需要用7bit解码。

第一个字节 01,表示这条短信已读

第二个字节表示用于存储服务中心号码的字节数

91代表国际号码

21 60 13 03 00 F4 代表 1 206-313 0004

21 04 37 41 20 F2 表示发送者号码 1 204-731 4022

70 30 01 02 72 14 时间戳。代表3月10日,2007年 08:27:41 PM)

关于SIM卡取证的分析学习

利用脚本解码。

关于SIM卡取证的分析学习

对于只是标记删除的,我们也可以恢复

关于SIM卡取证的分析学习

因为和文件删除一样,只是标记位置删除了。其他的不变。

ICCID在这里保存在0x2FE2中

其内容是89 01 26 02 20 01 25 59 59 7,是反向半字节格式

89指电信工业标识符

01指国家码标识符 US

260指网络码 T-Mobile

关于SIM卡取证的分析学习

MSISDN在6F40中

刚开始的部分类似文件头JPG这种,之后存储的就是SIM卡的号码。

关于SIM卡取证的分析学习


最后,祝大家五一快乐,劳动者最光荣。

原文始发于微信公众号(Th0r安全):关于SIM卡取证的分析学习

版权声明:admin 发表于 2023年4月30日 下午5:09。
转载请注明:关于SIM卡取证的分析学习 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...