【静默短信在技术侦查中的应用】

转自：LBS（ID：LocationBasedService）

        技术侦查时我们经常需要对目标人物进行定位，监听目标人物的电话和短信。

        如何做到呢？首选当然是高大上的7号信令系统（SS7）。你需要一个能够访问的支持MAP（Mobile Application Part）的SS7信令接入点，然后，你理论上就可以侦听，拦截，伪造全球任何移动用户的电话和短信了，也可以获得该手机当前接入的Cell ID从而精确定位。因为全球的电信运营商都连在一张信令网上，除非某些运营商做了信令过滤，否则不管你从哪个国家接入SS7，命令在全球运营商那里都会得到忠实执行。目前国际上常见的SS7信令接入点的租用价格是每月几千美元起，对机构来说并不是很贵。

静默短信 信令系统#7

        （SS7：Signaling System #7）由 ITU-T 定义的一组电信协议，主要用于为电话公司提供局间信令。SS7 中采用的是公共信道信令技术（CCS：common-channel signaling），也就是带外（out-of-band）信令技术，即信令服务提供独立的分组交换网络。 

        MAP：Mobile Application Part （移动应用部分）七号信令的子集。用于连接分布式交换单元（MSC）和主数据库（HLR）。HLR能动态存储移动网络用户的当前位置和预置文件。在处理拨入呼叫的过程中需要使用HLR。当网络用户位置改变时，HLR也要相应更新，用户便由网络中的其他交换机服务。

        MAP协议的主要内容包括移动性管理、呼叫业务处理、补充业务处理、短消息业务处理、操作维护和GPRS业务处理等。

        本文介绍一项Slient SMS的低成本实现方法和简单应用。

        其实，Silent SMS在各国执法部门都大量使用，即使他们同时也在使用SS7，比如柏林警方去年的发送数量就超过了10万。和SS7只能定位到基站不同，Silent SMS配合伪基站+三角定位法，开阔空间定位精度可以达到1米左右，实战中可以直接定位到广场上的某个人。这样即使目标人物使用了易容术，随身携带的手机也会不知不觉的告诉我们真相。

        手机号码（MSISDN）在移动通信网上是很少进行传输的。对于移动网络来说，区别不同手机的惟一ID是IMSI（International Mobile Subscriber Identity）。MSISDN是为了方便人类而做的一个IMSI在现实世界的映射。你打电话发短信时提交的是对方的MSISDN，移动网络收到你的请求后要把MSISDN映射回IMSI，然后才能处理。你接电话收短信时对方的MSISDN也是单独发送给你的，好让你能知道知道对方是谁。

        而为了保护安全和隐私，IMSI在设计上也是尽量少的在网络上传输的，通常情况下只在首次Attach和越区切换位置更新时才需要向移动网络提交你的IMSI。当移动网络确认你的合法身份后会指派一个临时身份给你，在GSM网络里是TMSI（Temporary Mobile Subscriber Identity），在LTE里是S-TMSI（为了简化我们也把它称作TMSI），之后在需要身份识别的时候，都是用TMSI的。

        IMSI（International Mobile Subscriber Identity，国际移动用户识别码）用于在全球范围唯一标识一个移动用户。一个IMSI唯一标识一个移动用户，在全世界都是有效的。

        无线网络覆盖的范围很大，如果IMSI在网络中传递时被不法分子获取，这个是非常危险的。所以需要采用另外一种号码临时代替IMSI在网络中进行传递，这就是TMSI（Temporary Mobile Subscriber Identity，临时移动用户标识）。采用TMSI来临时代替IMSI的目的为了加强系统的保密性，防止非法个人或团体通过监听无线路径上的信令窃取IMSI或跟踪用户的位置。

        所以，在我们侦听移动通信时会发现，上行的通信请求，不管是发短信还是打通话，只能侦听到发起者的TMSI和接收者的MSISDN；而下行的通信，不管是来电话还是来短信，只能侦听到发起者的MSISDN和接收者的TMSI。这样，如果我们不能找出TMSI和MSISDN的一一对应关系，我们就没法区分出哪些短信和通话是指向我们的目标人物的。

而找出了TMSI和MSISDN的对应关系，也就能通过侦听知道目标手机当前连在哪个蜂窝基站，从而实现对目标人物的定位。

        用WireShark来侦听目标手机接收到的短信：