【行业资讯】手机取证：SIM卡使用记录

来源：取证杂谈

原创： 胡壮

    手机取证中，手机号是确定手机机主的重要途径，同时也可以在众多检材或线索中起串联作用，其重要性不言而喻。确定手机号的一个重要途径是通过SIM卡，SIM卡中可能记录有手机号，通过SIM卡的ICCID也可以从运营商查询得到对应的手机号。

    实践中机主可能更换过手机号，所以仅对手机附带的SIM卡进行取证可能还不够。本文将介绍Android及iOS设备中检验历史SIM卡信息的方法。

    iOS设备

    使用iTunes或其他工具创建手机备份，使用iBackupBot等工具浏览备份数据。SIM卡历史记录记录保在”WirelessDomain/Library/Database/CellularUsage.db"文件中。

    CellularUsage.db是SQLite数据库文件，可以使用免费的DB Browser for SQLite或iBackupBot自带的查看器查看，SIM卡历史记录保存在表“subscriber_info”中。如图1所示。
 

     subscriber_info字段即SIM卡的ICCID，subscriber_mdn字段即手机号，last_update_time字段即最后更新时间，为MAC Absolute Time时间格式。MAC Absolute Time时间记录的是2001年1月1日 00:00:00 UTC+0:00至今流逝的秒数，可以用免费的工具DCode进行转换。如图2所示。
 

      需要注意的是，last_update_time字段记录的最后更新时间与手机系统时间相关，如果手机时间不准，会影响此处的最后更新时间。图1所示的第二条记录中，“-978306735.184363”经过转换为1970年1月1日，显然是错误的时间。如图3所示。
 

    Android设备

    Android手机的SIM卡使用记录一般保存在data分区的“data \com .android .providers .telephony \databases \telephony.db”文件中,该文件也是SQLite数据库。表“sim_info”会记录使用过的SIM卡的ICCID、手机号等信息。如图4所示。
 

     对于小米手机，SIM卡信息还在“data \com .android .providers .telephony \databases \siminfo.db”文件中。如图5所示。
 

    注意事项

    上面分别介绍了iOS和Android设备提取SIM卡历史记录的方法，其中iOS设备不需要越狱，只要能创建iTunes备份即可；对于Android设备，由于相关信息保存在data分区，普通权限无法访问相关数据，一般需要root或制作镜像后才能进行分析。

    SQLite数据库数据恢复技术是手机取证的基石之一，无论iOS还是Android，SIM历史记录都保存在SQLite数据库中，我们可以使用取证软件对上述文件进行处理，以获取删除的记录。本人在实践中也曾成功恢复出SIM卡历史记录。