Zi 字媒體

手機取證中，手機號是確定手機機主的重要途徑，同時也可以在眾多檢材或線索中起串聯作用，其重要性不言而喻。確定手機號的一個重要途徑是通過SIM卡，SIM卡中可能記錄有手機號，通過SIM卡的ICCID也可以從運營商查詢得到對應的手機號。實踐中機主可能更換過手機號，所以僅對手機附帶的SIM卡進行取證可能還不夠。本文將介紹Android及iOS設備中檢驗歷史SIM卡信息的方法。iOS設備使用iTunes或其他工具創建手機備份，使用iBackupBot等工具瀏覽備份數據。SIM卡歷史記錄記錄保存在」WirelessDomain /Library /Database /CellularUsage.db"文件中。CellularUsage.db是SQLite資料庫文件，可以使用免費的DB Browser for SQLite或iBackupBot自帶的查看器查看，SIM卡歷史記錄保存在表「subscriber_info」中。如圖1所示。圖 1 CellularUsage.db文件中記錄的SIM卡歷史信息subscriber_info欄位即SIM卡的ICCID，subscriber_mdn欄位即手機號，last_update_time欄位即最後更新時間，為MAC Absolute Time時間格式。MAC Absolute Time時間記錄的是2001年1月1日 00:00:00 UTC+0:00至今流逝的秒數，可以用免費的工具DCode進行轉換。如圖2所示。圖 2 使用DCode解析MAC Absolute Time格式的時間需要注意的是，last_update_time欄位記錄的最後更新時間與手機系統時間相關，如果手機時間不準，會影響此處的最後更新時間。圖1所示的第二條記錄中，「-978306735.184363」經過轉換為1970年1月1日，顯然是錯誤的時間。如圖3所示。圖 3 CellularUsage.db文件中記錄的錯誤的時間Android設備Android手機的SIM卡使用記錄一般保存在data分區的「data \com .android .providers .telephony \databases \telephony.db」文件中,該文件也是SQLite資料庫。表「sim_info」會記錄使用過的SIM卡的ICCID、手機號等信息。如圖4所示。圖 4 telephony.db文件中記錄的SIM卡歷史信息對於小米手機，SIM卡信息還在「data \com .android .providers .telephony \databases \siminfo.db」文件中。如圖5所示。圖 5 siminfo.db文件中記錄的SIM卡歷史信息注意事項上面分別介紹了iOS和Android設備提取SIM卡歷史記錄的方法，其中iOS設備不需要越獄，只要能創建iTunes備份即可；對於Android設備，由於相關信息保存在data分區，普通許可權無法訪問相關數據，一般需要root或製作鏡像后才能進行分析。SQLite資料庫數據恢復技術是手機取證的基石之一，無論iOS還是Android，SIM歷史記錄都保存在SQLite資料庫中，我們可以使用取證軟體對上述文件進行處理，以獲取刪除的記錄。本人在實踐中也曾成功恢復出SIM卡歷史記錄。虛擬SIM卡將是未來？虛擬SIM卡，蘋果給運營商的致命一擊？拔出SIM卡還會被追蹤嗎