Читаем Журнал «Компьютерра» № 24 от 28 июня 2005 года полностью

Весьма содержательным для следствия может оказаться комплект файлов (они называются слотами и имеют длину 176 байт) с короткими текстовыми сообщениями (SMS). В большинстве SIM-карт под текстовые сообщения отведено 12 слотов. Кроме того, практически все современные телефоны позволяют хранить SMS и в памяти аппарата. Как используется отведенная под эсэмэски память, " определяется программным обеспечением телефона и пользовательской конфигурацией. Как правило, все входящие сообщения сохраняются по умолчанию, а исходящие " по указанию владельца мобильника. В большинстве мобильников сначала используется память SIM, а затем самого аппарата. В каждом SMS-слоте на первом месте расположен байт состояния, а остальные 175 байт " информация о конкретном сообщении (метка номера адресата, дата/время сообщения, собственно текст). Когда пользователь «удаляет» SMS, байт состояния выставляется в 0, сигнализируя, что слот освободился. Остальные же байты " со 2-го по 176-й " остаются нетронутыми, а значит, эту информацию можно извлечь из SIM-карты (так что, может, месье Сирвен и не зря насиловал свой пищеварительный тракт). Когда новая SMS записывается в свободный слот, то байты, оставшиеся неиспользованными, забиваются шестнадцатеричной комбинацией FF (то есть бинарными единичками). Иными словами, здесь, в отличие от файловой системы ПК, не остается хвостов предыдущих записей в так называемых slack-пространствах (между меткой конца файла и физическим концом сектора памяти).

Еще один содержательный блок информации " телефонные номера абонентов. Большинство SIM-карт имеют около ста слотов для хранения часто используемых номеров «короткого набора». В аппаратах, выпущенных до 1999 года, это был единственный механизм хранения телефонных номеров, теперь же памяти в мобильниках стало гораздо больше, так что пользователь может выбирать, куда какой номер положить. Существенно, что когда номер короткого набора уничтожается, то байты памяти соответствующего слота забиваются комбинацией FF, а значит, удаленную информацию восстановить практически невозможно. Поскольку слоты обычно заполняются последовательно, то пустой слот между двумя задействованными останется единственным свидетелем того, что прежде хранившаяся здесь информация уничтожена. Кроме того, SIM-карта может хранить последние набиравшиеся номера. В большинстве карт под эту цель отведено пять слотов. Впрочем, ПО мобильников прибегает к этой возможности крайне редко, предпочитая хранить лог-файл звонков в памяти самого аппарата. Как бы то ни было, криминалисты исследуют содержимое обоих разделов.

Что касается собственно телефона (ME), то его значение как источника улик сильно зависит от конкретной модели, поскольку каждая фирма-изготовитель наделяет свои аппараты набором самых разных функций. В целом же следователей всегда интересует содержимое флэш-памяти ME, где наибольшую свидетельскую ценность представляют следующие файлы: IMEI (серийный номер аппарата), номера короткого набора, текстовые сообщения, хранимые компьютерные файлы и аудиозаписи, лог-файл номеров входящих и исходящих звонков, события в календаре, настройки GPRS, WAP и Internet.

Самое же ценное для следственной (и шпионской) работы " базы данных операторов мобильной связи: база информации об абонентах (Subscriber database), реестры расположения собственных абонентов (Home Location Register, HLR) и гостей сети (Visitors Location Register, VLR). Но важнейшим, вероятно, источником информации оказывается так называемая база CDR (Call Data Record). Как можно понять из названия, сетевой оператор хранит в ней записи о каждом телефонном звонке (и текстовом сообщении), сделанном в этой сотовой сети. Все записи о звонках делаются в коммутационных центрах сети (MSC), а затем сводятся в единую базу «для биллинговых и других целей». Каждая запись CDR содержит следующую информацию: кто звонит (A-номер MSISDN); кому звонит (B-номер MSISDN); серийные IMEI-номера обоих мобильников; длительность соединения; тип услуги; базовая станция, начавшая обслуживание соединения. Записи CDR можно фильтровать и сортировать по любому из параметров. Это значит, что без труда извлекается информация не только о том, по каким номерам звонили с интересующей SIM (или, наоборот, откуда звонили), но также информация о разговорах по конкретному мобильнику, независимо от вставленной в него SIM-карты с тем или иным телефонным номером. Поднимая же записи базовых станций, обслуживавших звонок, следствие может восстановить местоположение абонентов с точностью до соты, в которой они находились в момент звонка или отправки SMS.