引用本文
林珍妮, 黄建川. 电子证据中MMS格式彩信的解码方法[J]. 刑事技术,2015,38(4): 65-67
[J]. Forensic Science and Technology,2015,38(4): 65-67  
Permissions
Copyright©2015, 《刑事技术》编辑部
《刑事技术》编辑部
电子证据中MMS格式彩信的解码方法
林珍妮, 黄建川
重庆市公安局国保总队物证中心,重庆401147
摘要
关键词: 手机取证; 司法鉴定; 彩信SMIL; MMS解码; 电子证据
中图分类号:DF793 文献标志码:B 文章编号:1008-3650(2013)04-0065-03

近年来, 通信技术迅速发展也为违法犯罪分子提供了新的犯罪方法和平台。以移动通信技术为作案工具的新型犯罪活动越来越多。面对大量的利用计算机进行的犯罪活动, 传统取证模式已不能满足办案需求, 公安机关需要运用更为先进的计算机取证技术, 以便顺利提取手机中的电子证据[1]

在对手机进行取证的过程中发现, 大量的手机都装有一款彩信群发的软件, 通过测试分析, 该软件能够通过添加电话号码列表和彩信列表, 发送彩信。 该软件发送的彩信是一种后缀名为mms的文件, 用传统的视频、图片、文本方式都无法打开, 手机中安装的彩信群发软件没有提供预览功能, 这就给取证工作[2]带来了困难。笔者研究利用winhex手动解码彩信的方法, 为取证工作提供了一种快速、有效的方法。

1 彩信相关介绍

中国移动推出的多媒体短信业务(MMS)2012年10月1日起正式商用, 随后其他的运营商也相继开始提供彩信服务[3]

MMS的全称是Multimedia Messaging Service, 即多媒体信息服务, 也就是我们所熟知的“ 彩信” 。彩信是在GPRS网络的支持下, 以WAP无线应用协议为载体传送图片、声音和文字等信息。彩信业务能够实现手机端到端、手机端到互联网或互联网到手机端的多媒体信息的即时传送。

1.1 彩信的业务流程概述

MMS业务实现的流程[3](见图1)。首先, 发送端编辑需要发送的多媒体信息, 发送端将信息用WAP WSP协议编码后作为一个 WSP POST内容发送, WAP网关将内容以HTTP协议传送给MMS中继器, 再由中继器传至彩信中心(MMSC)。彩信中心(MMSC)将接收到的信息内容转换成MIME格式, 通过数据分析得到路由信息, 用户端信息, 并通过WAP连接响应发送端。然后, 彩信中心(MMSC)利用WAP PUSH通知接收端有一条信息需要接收。接收端建立一个WAP连接, 使用WSP GET从彩信中心(MMSC)取回信息。此时彩信中心(MMSC)会通知发送端信息发送成功。

图1 彩信业务流程图

从上述MMS发送和接收的过程可以得知, 彩信中心(MMSC)并不是直接将MMS信息发送给接收端, 而是向其发送一个通知, 告诉接收端有一条信息需要接收。根据接收端设置的不同, 接收的终端将会立即提取该消息或推迟一段时间提取[4]

1.2 彩信的组装方式

使用application/vnd.wap.multipart.related方式组装MM时, 各消息内容之间是有一定的关系的, 该关系可能是显示的时间上的先后、显示的位置等[5]。这样在终端显示该消息的时候, 就可以以类似小电影的方式显示一系列信息, 使得该MM的显示更加趣味化(见图2)。

图2 彩信的组成部分

1.3 彩信中的SMIL

图2中的SMIL是同步多媒体集成语言(Synchronized Multimedia Integration Language)的缩写, 图3是一个SMIL的例子, 该文件对其他内容的显示作了很细致的定义, 包括显示的时间、大小、位置等。

图3 一个SMIL例子

2 基于winhex的手工解码过程

任何一个存储在计算机上的文件都可以被认为是由最基本的0和1组成的。Winhex就是一款16进制文件编辑与磁盘编辑软件, 它能够编辑任何文件类型的二进制内容。Winhex便是将这些文件以二进制形式打开, 以16进制形式显示。由于案件保密需要, 本文以一条普通彩信为例, 具体分析如何对彩信文件解码。

第一步 提取彩信文件中的SMIL。将.mms格式的彩信文件从待取证的手机存储卡中拷出来, 在PC上使用Winhex查看, 如图4为打开后的部分信息。观察可以发现, 蓝色区域就是彩信中的SMIL(同步多媒体集成语言)。根据SMIL推断出该文件中包含的文件格式为图片文件和文本文件。

图4 彩信的二进制代码

第二步 查找彩信中的图片文件。由于JPEG图片文件的十六进制编码以FF D8 FF开头, 以FF D9结尾。通过搜索文件中(FF D8 FF…FF D9)数据对的数量, 可以确定彩信中图片的张数和SMIL中显示的是一致的, 同时, SMIL图片名和十六进制数据的文件名一一对应, 进一步证明通过SMIL来分析彩信内容这一方式的有效性。

图5所示, 浅灰部分为该图片的头, 而深灰部分图片的文件名, 而图6中的白框部分为该图片的文件尾。

图5 JPEG格式图片的二进制头标志

图6 JPEG格式图片的二进制尾标志

将FF D8 FF和FF D9之间的十六进制制数据提取出来, 置入一个新文件, 选择保存为.jpg格式, 就可以看到如图7所示的图片内容。

图7 JPEG格式的图片内容

第三步 查找彩信中的文本文件。根据图片在彩信中存储方式的分析, 可以推断出文本部分的存在方式为:文件名+文件内容。根据这一思路, 在彩信的十六进制数据块中寻找SMIL所含的文本文件名。通过分析发现, 文本文件的存在方式为:文件名.txt(00..8E)文件名.txt。通过测试发现, 彩信中的文本采用的是UNICODE编码方式。

提取出两个文件名之间的数据块, 并保存为UNICODE编码的TXT文件, 就可以看到文件内容(见图8, 图9)。

图8 TxT_29568.txt文件的十六进制形式

图9 TxT_29568.txt文件的文字内容

3 讨 论

分析彩信的发送流程可以得出, 彩信在发送端是由文字、图片和声音组成的, 发送端将这些信息组合后发送给彩信服务器, 而接收方接收到通知消息后, 再从服务器下载该彩信内容。由此可知, 如果要确定该彩信的内容, 可以采取的方式有3种:(1)通过接收方的手机来打开彩信内容; (2)去彩信的服务器调取该内容; (3)通过发送端来获取彩信内容。

现在的犯罪分子为了规避风险, 将彩信内容组合成一种后缀名为.mms的复合文件, 而群发软件也不提供预览的功能, 我们无法在发送端来获取彩信内容; 而要定位这些彩信被发送的目的地, 也是非常困难的, 因此只能采取去彩信服务器调取和解码该文件的方法来获取内容。

本文通过分析SMIL, 从而提出了一种基于SMIL来分析彩信内容的方法。分析提取出彩信中的图片和文字内容, 为案侦提供方向。本文的工作主要集中在分析彩信的结构和手工解码方面。

The authors have declared that no competing interests exist.

参考文献
[1] 麦永浩, 孙国梓, 许榕生, . 计算机取证与司法鉴定[M]. 北京: 清华大学出版社, 2009: 6-9. [本文引用:1]
[2] 丁红军, 范玮. 手机物证检验原则[J]. 刑事技术, 2012(3). [本文引用:1]
[3] 马智敏. 彩信业务对通信企业的发展贡献分析[J]. 电信工程技术与标准化, 2008(10). [本文引用:2]
[4] 詹咏松. 彩信(MMS)网关原理和实现仿真[J]. 计算机仿真, 2005(5). [本文引用:1]
[5] 刘鸿飞. WCDMA移动终端上MMS客户端功能应用实现的研究[M]. 北京: 北京邮电大学, 2005. [本文引用:1]