什么是伪基站？伪基站识别技巧分享

不知道为什么，感觉伪基站又有些卷土重来的趋势，不想废话，先分享几个伪基站识别技巧，供拍砖交流。

0×01 了解伪基站

前几年协助某些部门做过伪基站的电子取证分析，

在对批量伪基站设备和软件平台的分析时，发现虽然大多数伪基站使用者，在设置参数前都会先对周边基站的开放频点、MNC、LAC、CI等信息进行扫描，但有些选项却有趣地带有明显的掩耳盗铃风格，比如这个基站别名。如下图所示，出于避免怀疑的心理，大多数伪基站的别名都会设置为“应急通信”……这算是一叶蔽目么？

伪基站原理什么的有很多人在讲，就不重复废话了，下图里是伪基站平台上某个号码的已发送对象与欺诈短信数量，可以清晰地从IMSI列表上看到周边出现的手机被依次强制拉入。

和木马的自毁设计一样，既然国内伪基站基本上都基于OpenBTS开源项目，所以那些开发的guys也都会设计平台在指定时间或者通过预设操作，试图在后台销毁一切已发送数据。不过明显地，很多人都低估了现在的电子取证能力，下图里是当时鉴定组里某帅草在Ubuntu下提取的已删除log数据，这台伪基站里同类文件有数万个。为什么要“毁尸灭迹”？当然是销毁罪证喽，但关键点是，目前在国内，发送条数也是量刑的重要参照依据，这下明白了吧。

 

0×02 基本判断

 

最基本的判断完全是基于表面化的异常情况判断，不能说一定是伪基站所致，但应该引起警觉或者可以做点测试打消怀疑，以下判断依据仅作参考：

1）通话中信号突然中断。

在排除周边信号不好或者存在信号死角之外，很可能是被伪基站强制“吸”走，于是信号被“切断”。典型现象就是手机信号从满格跌落到无信号，然后又快速回升。在伪基站上看到的效果参见上图的IMSI列表。

2）通信网络模式改变。

现在大家用的都是4G或者3G网络，正常情况下载手机屏幕顶上右侧会出现一个阶梯状信号格数提示，一般会显示“4G”或“3G”，当突然改变为“GSM”、“G”或者不再显示具体网络类型时，就意味着遭遇到强制“降频”，即从4G（仅举例：1880-1900MHz）被拉到了GSM（仅举例：890-990/935-954MHz）。

这是由于伪基站主要还是基于GSM制式，无法对4G网络支持所致。当然，对于公安技侦部门来说，在特殊场合监控时某些设备可能也会导致同样效果，这里就不再解释。好吧，若是非常幸运遇到了CDMA制式的伪基站……当我没说。

3）无法接收短信接打电话。

肯定的，一旦被伪基站“劫持”，手机的所有通信就只能与伪基站交互，由于伪基站无法与合法基站进行鉴权等交互，所以就相当于处于“孤岛”模式，自然所有对外联系都被中断。这就解释了有时候信号格数还行，但却打不出去电话接收不到短信的原因，特别是对于一些就处于3G/4G信号薄弱的区域。

4）运营商信息。

在Android下，可以通过查看手机电话卡（就是SIM卡）状态信来查询当前网络的运营商相关信息，在疑似被伪基站劫持时，打开查看便知。一般伪基站在此处的信息非常稀少，比如网络名称标识下“中国移动”就会显示为“应急通信”，甚至有时候会放一个相似的词，比如之前就见过“中国挪动”，也不知道是不是恶搞。

5）异常LAC和CID值。

这算是以前对