【技術分享】貓池鑒定

一、 案件背景

2016年XX月XX日某市轄區手機用戶向當地公安機反映，最近頻繁接到騷擾電話打擾和收到「中獎」內容之類簡訊；該市公安機關積極響應配合，在所在轄區成功查獲一批「貓池」作案設備。我司技術人員提供全程案件支持，並通過盤石取證設備完成了相關數據的提取、固定和分析、恢復工作。

二、 技術解析及勘驗方法

1、技術解析

貓池（外文名：ModemPOOL）是一種將相當數量的Modem使用特殊的撥號請求接入設備連接在一起，可以同時接受多個用戶撥號連接的設備。「貓池」具有多種用途，在本案中它主要作為一種基於電話的擴充裝備。這裡它使用電話的中繼功能，即一個號碼多條線路，完成騷擾電話的群呼和垃圾簡訊的群發。「貓池」廣泛應用於大量具有多用戶遠程聯網需求的單位或需要向多用戶提供電話撥號聯網服務的單位，如郵電局、稅務局、海關、銀行、證券商、各類交易所、期貨經紀公司、工商局、各類信息呼叫中心等。

在市面上，「貓池」並非一種限制銷售產品，任何人都可以方便購得且價格低廉，常規「貓池」設備每台的售價在1800元到12000元人民幣之間。有一張手機卡，再有一台「貓池」，只需要購買一套與硬體配套使用的軟體就可以開始這種違法詐騙行為。這種軟體也專門有人提供，售價大約在1000元人民幣，它可以設置簡訊、彩信、語音等。

「貓池」有兩個特點，一是「隨機」，可以實現隨機撥打電話的功能；二是「群呼」，可以一次性撥打很多部手機。那麼，詐騙分子是怎麼「玩」的呢？非常簡單：一台電腦，連接2-4台「貓池」；一台「貓池」，插入32張手機SIM卡，即可開展「業務」。

通過「貓池」，可以實現撥通一個電話7-8秒，響一聲就掛斷。「貓池」上的一張電話卡，平均每天可以撥打電話2000次以上。一天下來，一台電腦多則可以給十幾萬、二十萬個手機撥打電話。

響一聲就斷掛，對方要是回撥怎麼辦？詐騙分子早有準備，他們利用已經錄製好的語音來解決這個問題，這些語音內容有「節目中獎、賬號更改、社保退費、借精生子」等。

一旦有人上當受騙，負責組建「通訊部」的嫌疑人，便可以按照撥打電話的數量從中抽成。

2、勘驗方法

勘驗過程使用到設備、工具：

a) 盤石取證一體機

b) 盤石計算機取證模擬系統SafeVM Pro

c) 盤石介質取證分析系統SafeAnalyzer

d) 專用資料庫查看器

經查送檢筆記本（其中一台）硬碟品牌型號為Hitachi牌80G硬碟，S/N:080615XXXXXXXXXXXXXX（MD5:F503XXXXXXXXXXXXXXXXXXXXXXXXXXXX），具體勘驗流程如下：

A、通過盤石取證一體機將嫌疑人筆記本硬碟通過只讀介面掛載到取證分析平台，生成全盤鏡像（鏡像大小：76320MB，名稱：dongzhi，MD5：f503XXXXXXXXXXXXXXXXXXXXXXXXXXXX）。

B、使用盤石計算機取證模擬系統SafeVM Pro載入鏡像文件，成功模擬進入系統。如下圖1-模擬截圖

圖1-模擬截圖

嫌疑人整個系統桌面情況如下圖2：

圖2-嫌疑人系統桌面

嫌疑人電腦回收站刪除文件情況如下圖3：

圖3-嫌疑人電腦回收站

在模擬系統中運行嫌疑人桌面名為「語音測試軟體_11-13」的程序，啟動截圖如下圖4：

圖4-《語音測試軟體_11-13》

C、通過盤石介質取證分析系統SafeAnalyzer提取鏡像相關文件，並使用專用的資料庫查看器進行分析提取，提取到「語音測試軟體_11-13」程序和設備的撥打電話記錄742570條，提取到手機號碼數據15320000條，具體情況詳見下方截圖5和圖6：

圖5

圖6-提取的txt手機號碼文件

圖6

通過分析嫌疑人最新訪問的文檔和文件系統目錄提取到關於《語音測試軟體_11-13》軟體的資料庫.db文件，對資料庫文件計算MD5，截圖如下圖7：

圖7-提取的資料庫文件

通過資料庫查看器載入資料庫文件，顯示歷史撥打手機號碼數據如下方截圖：

圖8-資料庫中手機號記錄

檢查結果：

送檢電腦中嫌疑人通過使用《語音測試軟體_11-13》軟體、疑似撥打電話742570條，電腦中存在手機號碼數據15320000條。