Содержание
1. Введение: Почему SIM-карты важны для расследований2. Что такое SIM-карта и какие данные она хранит
3. Структура SIM-карты: от физики до файловой системы
4. Методы извлечения данных из SIM-карт
5. Инструменты для SIM Card Forensics в 2026 году
6. Пошаговое руководство: Извлечение данных из SIM-карты
7. Типы данных и их форензическая ценность
8. Работа с различными поколениями SIM-карт
9. Практические кейсы и примеры расследований
10. Юридические аспекты и цепочка доказательств
11. Часто задаваемые вопросы
12. Заключение: Лучшие практики SIM Card Forensics
Введение: Почему SIM-карты важны для расследований
Представьте ситуацию: детектив изымает телефон подозреваемого. Телефон заблокирован паролем, возможно зашифрован, а подозреваемый отказывается сотрудничать. Что делать? Один из первых и самых эффективных шагов — извлечь SIM-карту и проанализировать её отдельно.
SIM-карта — это небольшой чип размером с ноготь, но он может содержать критически важные доказательства: последние звонки, SMS-сообщения, контакты, данные о местоположении и многое другое. В отличие от памяти телефона, SIM-карту можно извлечь за секунды и проанализировать специальными инструментами, часто обходя защиту самого устройства.
В 2026 году SIM Card Forensics остаётся одним из основных методов мобильной криминалистики. Несмотря на то, что современные смартфоны используют eSIM (встроенные SIM-карты), физические SIM-карты всё ещё массово распространены, особенно в России и странах СНГ.
В этой статье мы простыми словами разберём:
- Что такое SIM-карта и какие данные она хранит
- Структуру SIM-карты и принципы её работы
- Методы извлечения данных (логическое и физическое)
- Инструменты для анализа в 2026 году
- Пошаговое руководство по извлечению данных
- Практические кейсы из реальных расследований
Вы узнаете, как правильно работать с SIM-картами, избежать распространённых ошибок и получить максимум информации для расследования. Эта информация будет полезна специалистам по цифровой криминалистике, правоохранительным органам и всем, кто работает с мобильными доказательствами.
Что такое SIM-карта и какие данные она хранит
Прежде чем говорить о методах извлечения данных, важно понять, что такое SIM-карта и зачем она нужна.
SIM-карта простыми словами
SIM (Subscriber Identity Module) — это микрочип с встроенной памятью, который используется в мобильных телефонах для идентификации абонента в сети оператора. Простыми словами, это "удостоверение личности" вашего телефона в мобильной сети.
Основные функции:
- Аутентификация: Подтверждает, что телефон имеет право пользоваться услугами оператора
- Хранение данных: Сохраняет контакты, SMS, настройки сети
- Безопасность: Содержит ключи шифрования для защищённой связи
- Портативность: Позволяет переносить номер и данные между устройствами
Какие данные хранятся на SIM-карте
SIM-карта содержит несколько типов данных, которые имеют разную ценность для расследований:
Идентификационные данные:
- IMSI (International Mobile Subscriber Identity) — уникальный номер абонента в сети
- ICCID (Integrated Circuit Card Identifier) — серийный номер самой SIM-карты
- MSISDN (Mobile Station International Subscriber Directory Number) — номер телефона абонента
- MCC/MNC — коды страны и оператора
Пользовательские данные:
- Контакты (ADN) — телефонная книга (до 250 контактов)
- SMS-сообщения — входящие и исходящие (до 50 сообщений)
- История звонков — последние 10-30 звонков
- Сервисные номера (SDN) — номера оператора
Системные данные:
- LAI (Location Area Identity) — последнее известное местоположение
- Forbidden Networks — список запрещённых сетей
- SIM Toolkit данные — данные приложений (банкинг, платежи)
- PIN/PUK коды — для защиты SIM-карты
Почему SIM-карты важны для расследований
Преимущества анализа SIM-карт:
1. Быстрый доступ: Извлечение SIM занимает секунды, не требуется разблокировка телефона
2. Независимость: Данные хранятся отдельно от телефона
3. Устойчивость: Данные часто остаются даже после сброса телефона
4. Портативность: SIM можно переставить в специальный ридер
5. Юридическая чистота: Чёткая цепочка доказательств
Ограничения:
- Малый объём памяти (от 32KB до 512KB)
- Не все данные сохраняются (многое в памяти телефона)
- Современные телефоны используют eSIM (встроенные)
- Некоторые операторы блокируют доступ к данным
Несмотря на ограничения, SIM-карта часто содержит критически важную информацию: последние контакты, SMS перед преступлением, данные о местоположении. В некоторых случаях это единственный источник доказательств, особенно когда телефон повреждён или зашифрован.
Структура SIM-карты: от физики до файловой системы
Чтобы правильно извлекать данные, нужно понимать, как устроена SIM-карта внутри.
Физическая структура
SIM-карта — это микрочип (Integrated Circuit Card), который состоит из нескольких компонентов:
Основные элементы:
- Процессор: Криптопроцессор для шифрования и аутентификации
- ROM: Постоянная память с операционной системой
- RAM: Оперативная память для работы
- EEPROM: Энергонезависимая память для хранения данных (32KB-512KB)
- Контакты: 6-8 золотых контактов для связи с телефоном
Форм-факторы SIM-карт:
- Full-size SIM (1FF) — 85×54 мм (устаревший, 1991)
- Mini-SIM (2FF) — 25×15 мм (самый распространённый)
- Micro-SIM (3FF) — 15×12 мм (iPhone 4, старые Android)
- Nano-SIM (4FF) — 12.3×8.8 мм (современные телефоны)
- eSIM — встроенная, без физического носителя
Важно: физический размер не влияет на данные — это просто пластик вокруг чипа. Данные хранятся в самом чипе.
Файловая система SIM-карты
SIM-карта использует иерархическую файловую систему, похожую на компьютерную:
Структура файловой системы:
mf
(Master File) — корневая директория
├── DF (Dedicated Files) — поддиректории
│ ├── DF_GSM — данные GSM сети
│ ├── DF_TELECOM — контакты, SMS
│ └── DF_GRAPHICS — картинки, иконки
└── EF (Elementary Files) — файлы с данными
├── EF_ICCID — номер SIM-карты
├── EF_IMSI — идентификатор абонента
├── EF_ADN — контакты (Address Book)
├── EF_SMS — SMS сообщения
└── EF_LND — последние набранные номера
Типы файлов EF:
- Transparent: Последовательность байт (как обычный файл)
- Linear Fixed: Записи фиксированного размера (как база данных)
- Cyclic: Циклический буфер (старые записи перезаписываются)
Уровни доступа и безопасность
SIM-карта защищена системой прав доступа:
Access Conditions (условия доступа):
- ALW (Always) — доступ всегда разрешён
- CHV1 (Card Holder Verification 1) — требуется PIN-код
- CHV2 — требуется PIN2-код (для специальных функций)
- ADM (Administrative) — доступ только для оператора
- NEV (Never) — доступ запрещён
PIN и PUK коды:
- PIN1 — основной код (4-8 цифр), защищает SIM от несанкционированного использования
- PIN2 — дополнительный код для специальных функций
- PUK1/PUK2 — коды разблокировки при неверном вводе PIN (10 цифр)
Важно для форензики: многие инструменты могут обойти PIN-код, читая данные напрямую через специальные команды. Однако попытки подбора PIN могут заблокировать SIM (после 3 попыток).
Типы SIM-карт по поколениям
2G SIM (GSM):
- Самые простые
- Память: 32-64 KB
- Стандарт: 3GPP TS 11.11
3G USIM (UMTS):
- Улучшенная безопасность
- Память: 64-256 KB
- Стандарт: 3GPP TS 31.102
- Дополнительные приложения (Java applets)
4G/5G USIM:
- Поддержка LTE/5G
- Память: 128-512 KB
- Улучшенное шифрование
- NFC и мобильные платежи
Понимание структуры SIM-карты критически важно для выбора правильного метода извлечения данных и интерпретации результатов.
Методы извлечения данных из SIM-карт
Существует несколько методов извлечения данных из SIM-карт, каждый со своими преимуществами и ограничениями.
Логическое извлечение (Logical Extraction)
Что это:
Логическое извлечение — это чтение данных через стандартный интерфейс SIM-карты, используя команды протокола ISO 7816-4. Простыми словами, это как "попросить" SIM-карту отдать данные.
Как работает:
1. SIM-карта вставляется в специальный ридер
2. Программа отправляет команды чтения (APDU commands)
3. SIM-карта возвращает данные из файлов
4. Данные декодируются и сохраняются
Преимущества:
- Быстро и просто
- Не требует специального оборудования
- Не повреждает SIM-карту
- Работает с большинством SIM-карт
Недостатки:
- Получаете только "доступные" данные
- Не читает защищённые или скрытые области
- Не восстанавливает удалённые данные
- Требует обхода PIN-кода
Типичные данные:
- Контакты (ADN)
- SMS сообщения
- История звонков
- ICCID, IMSI
- Сервисные номера
Физическое извлечение (Physical Extraction)
Что это:
Физическое извлечение — это создание полного образа памяти SIM-карты (bit-by-bit copy), включая неиспользуемые и удалённые области.
Как работает:
1. Используются низкоуровневые команды для прямого доступа к памяти
2. Читается вся EEPROM память байт за байтом
3. Создаётся полный дамп памяти
4. Анализируется в hex-редакторе или специальных программах
Преимущества:
- Полный доступ ко всей памяти
- Восстановление удалённых данных
- Доступ к нестандартным файлам
- Возможность глубокого анализа
Недостатки:
- Требует специального оборудования
- Сложнее в реализации
- Не всегда возможно (защита оператора)
- Требует больше времени
Типичные данные:
- Всё из логического извлечения
- Удалённые SMS и контакты
- Скрытые файлы
- Нестандартные области памяти
- Свободное пространство (unallocated space)
Извлечение через телефон (Handset Extraction)
Что это:
Извлечение данных SIM-карты через сам телефон, используя AT-команды или специальное ПО.
Как работает:
1. Телефон подключается к компьютеру
2. Программа отправляет команды телефону
3. Телефон читает данные из SIM и передаёт их
4. Данные декодируются
Преимущества:
- Не требует SIM-ридера
- Работает с заблокированными SIM (если телефон разблокирован)
- Может получить данные из памяти телефона + SIM
Недостатки:
- Зависит от модели телефона
- Может изменить статус данных (пометить SMS как прочитанные)
- Не всегда форензически корректно
- Неполные данные
Клонирование SIM-карты (SIM Cloning)
Что это:
Создание копии SIM-карты на специальную программируемую SIM-карту (SIMID Access Card).
Как работает:
1. Читается Ki (ключ аутентификации) из оригинальной SIM
2. Данные записываются на программируемую SIM
3. Клонированная SIM работает как оригинал
Применение:
- Тестирование без риска повреждения оригинала
- Работа с SIM в разных устройствах
- Сохранение оригинала как вещественного доказательства
Юридические вопросы:
Клонирование SIM может быть незаконным в некоторых юрисдикциях. Используйте только для форензических целей с соответствующим разрешением.
Выбор метода извлечения
Рекомендации:
| Ситуация | Рекомендуемый метод |
|---|---|
| Стандартное расследование | Логическое извлечение |
| Нужны удалённые данные | Физическое извлечение |
| Нет SIM-ридера | Извлечение через телефон |
| Тестирование/исследование | Клонирование + анализ клона |
| SIM повреждена | Физическое извлечение (если возможно) |
Лучшая практика 2026:
Используйте комбинированный подход — сначала физическое извлечение (полный дамп), затем логическое для проверки. Это даёт максимум данных и позволяет сравнить результаты.
Инструменты для SIM Card Forensics в 2026 году
В 2026 году существует множество инструментов для анализа SIM-карт — от профессиональных комплексов до бесплатных утилит.
Профессиональные комплексные решения
#### Cellebrite UFED (Universal Forensic Extraction Device)
Описание:
Cellebrite UFED — индустриальный стандарт для мобильной криминалистики, используемый правоохранительными органами по всему миру.
Возможности для SIM-карт:
- Физическое и логическое извлечение
- Поддержка всех типов SIM (2G, 3G, 4G, 5G)
- Извлечение через UFED Multi SIM Adapter
- Клонирование на UFED SIM ID Access Cards
- Автоматическое декодирование и отчёты
Версии в 2026:
- UFED 4PC — программная версия для ПК
- UFED Touch 2 — аппаратное решение
- UFED Premium — расширенные возможности
- Cellebrite Inseyets — новая комплексная платформа
Преимущества:
- Максимальная совместимость
- Полные отчёты для суда
- Регулярные обновления
- Техподдержка
Недостатки:
- Очень дорого (~$6,000-15,000)
- Требует обучения
- Годовая лицензия
Для кого: Правоохранительные органы, профессиональные форензики
#### MOBILedit Forensic
Описание:
Комплексное решение для мобильной форензики с отличной поддержкой SIM-карт.
Возможности:
- Логическое извлечение из SIM
- Поддержка через телефон и ридеры
- Анализ контактов, SMS, звонков
- Генерация отчётов
- Сравнение SIM-карт
Преимущества:
- Дешевле UFED (~$1,500-3,000)
- Простой интерфейс
- Хорошая документация
Недостатки:
- Нет физического извлечения
- Меньше поддерживаемых устройств
#### Oxygen Forensic Detective
Описание:
Мощная платформа для анализа мобильных устройств, включая SIM-карты.
Возможности:
- Извлечение данных SIM
- Облачный анализ (iCloud, Google)
- Восстановление удалённых данных
- Timeline analysis
- Геолокация
Цена: ~$3,000-5,000 (годовая лицензия)
Для кого: Средние и крупные лаборатории
Специализированные SIM-инструменты
#### SIMCon
Описание:
Специализированный инструмент для форензического анализа SIM-карт от Inside Out Forensics.
Возможности:
- Логическое извлечение всех файлов
- Работа с PC-SC smart card readers
- Обход PIN-кода
- Генерация отчётов
- Windows-based
Преимущества:
- Фокус только на SIM
- Простота использования
- Относительно недорого (~$500)
Недостатки:
- Только Windows
- Только логическое извлечение
- Устаревший интерфейс
#### TULP2G (The Ultimate Logical Phone Tool 2G)
Описание:
Open-source инструмент от Netherlands Forensic Institute для извлечения данных из SIM и телефонов.
Возможности:
- Логическое извлечение
- Поддержка GSM/USIM
- Экспорт в XML
- Бесплатный
Преимущества:
- Бесплатный и open-source
- Форензически корректный
- Расширяемый
Недостатки:
- Требует технических знаний
- Нет GUI (command-line)
- Только Windows
Аппаратные SIM-ридеры
#### Универсальные PC-SC ридеры
Рекомендуемые модели 2026:
- Gemalto IDBridge CT30 (~$30) — надёжный, широко используется
- SCM SCR3310 (~$25) — бюджетный вариант
- Cherry SmartTerminal ST-1144 (~$40) — профессиональный
Особенности:
- Подключение по USB
- Поддержка ISO 7816
- Работа с SIM-адаптерами
- Совместимость с большинством ПО
#### Специализированные форензические ридеры
UFED Multi SIM Adapter:
- 8 слотов для одновременной работы
- Поддержка всех форм-факторов
- Интеграция с UFED
- Цена: ~$500 (в составе UFED)
SIM ID Cloning Cards:
- Программируемые SIM для клонирования
- Многоразовые
- Для тестирования и сохранения доказательств
Бесплатные инструменты
#### pySIM
Описание:
Python-библиотека для работы с SIM-картами.
Возможности:
- Чтение/запись данных SIM
- Поддержка различных файловых систем
- Программирование SIM
- Open-source
Использование:
python
from pySim.commands import SimCardCommands
from pySim.transport.pcsc import PcscSimLink
sl = PcscSimLink()
sc = SimCardCommands(transport=sl)
<h2 id="chtenie-iccid">Чтение ICCID</h2>
iccid = sc.read_binary(['3F00', '2FE2'])
print(iccid)
Для кого: Разработчики, исследователи
#### Autopsy + SIM Analysis Module
Описание:
Популярная форензическая платформа Autopsy имеет модуль для анализа SIM-карт.
Возможности:
- Импорт данных из других инструментов
- Визуализация контактов и звонков
- Timeline analysis
- Бесплатный
Недостатки:
- Не извлекает данные напрямую
- Требует предварительного дампа
Рекомендации по выбору инструмента
Для начинающих:
- Бюджетный ридер (~$30) + MOBILedit Forensic Express
- Или бесплатно: TULP2G + обучение
Для профессионалов:
- Cellebrite UFED (если бюджет позволяет)
- Oxygen Forensic + специализированные ридеры
Для исследователей:
- pySIM + Python scripts
- Autopsy для анализа
Лучшая практика 2026:
Имейте несколько инструментов — профессиональный для основной работы, бесплатный для проверки результатов, специализированный для сложных случаев.
Пошаговое руководство: Извлечение данных из SIM-карты
Теперь практическая часть — пошаговое извлечение данных из SIM-карты.
Подготовка к извлечению
Шаг 0: Организация рабочего места
Необходимое оборудование:
- Форензическая рабочая станция (Windows/Linux)
- SIM-ридер (PC-SC совместимый)
- SIM-адаптеры (nano→micro, micro→full size)
- Антистатический коврик (опционально)
- Камера для фото-фиксации
- Форензические перчатки
Программное обеспечение:
- Инструмент для извлечения (например, MOBILedit Forensic)
- Hex-редактор (HxD, 010 Editor)
- Программа для отчётов (Word, PDF)
Юридическая подготовка:
- Разрешение на изъятие и анализ
- Документация на вещественное доказательство
- Форма для цепочки доказательств (Chain of Custody)
Извлечение SIM-карты из устройства
Шаг 1: Документирование
1. Сфотографируйте телефон в том состоянии, как он был изъят
2. Запишите:
- Марку и модель телефона
- IMEI (если видно на экране или корпусе)
- Состояние (включён/выключен, заряд батареи)
- Дату и время изъятия
Шаг 2: Выключение устройства
- Если телефон включён, выключите его (не перезагружайте!)
- Не вводите PIN-код, если телефон запрашивает
- Не подключайте к зарядному устройству
Шаг 3: Извлечение SIM-карты
Для большинства телефонов:
1. Найдите слот для SIM (обычно сбоку или под батареей)
2. Используйте специальный инструмент (скрепку) для открытия лотка
3. Осторожно извлеките лоток с SIM-картой
4. Сфотографируйте SIM в лотке
5. Извлеките SIM из лотка
Для старых телефонов:
1. Снимите заднюю крышку
2. Извлеките батарею (если съёмная)
3. SIM под батареей в специальном слоте
4. Осторожно вытащите SIM
Важно:
- Не касайтесь золотых контактов SIM
- Не сгибайте SIM-карту
- Сфотографируйте номер на SIM (если есть)
- Запишите оператора (если видно)
Логическое извлечение данных
Шаг 4: Подключение SIM к ридеру
1. Если SIM nano/micro, вставьте в адаптер
2. Вставьте SIM в ридер (золотыми контактами вниз)
3. Подключите ридер к компьютеру
4. Дождитесь определения устройства (проверьте в Диспетчере устройств)
Шаг 5: Запуск программы извлечения
Пример с использованием MOBILedit Forensic Express:
1. Запустите MOBILedit Forensic Express
2. Выберите "SIM Card Reader" в типе подключения
3. Программа определит ридер автоматически
4. Нажмите "Next"
Шаг 6: Обход PIN-кода
Если SIM защищена PIN-кодом:
Метод 1: Обход через инструмент
- Большинство профессиональных инструментов обходят PIN автоматически
- Используют специальные команды чтения
Метод 2: PIN известен
- Введите PIN в программе
- Продолжите извлечение
Метод 3: PIN неизвестен
- НЕ ПЫТАЙТЕСЬ ПОДОБРАТЬ (заблокируете SIM после 3 попыток)
- Используйте физическое извлечение
- Или обратитесь к оператору за PUK-кодом
Шаг 7: Выбор данных для извлечения
Отметьте все доступные категории:
- ✅ ICCID, IMSI, MSISDN
- ✅ Контакты (ADN)
- ✅ SMS сообщения
- ✅ История звонков
- ✅ Сервисные номера
- ✅ LAI (местоположение)
- ✅ Forbidden PLMNs
- ✅ SIM Toolkit данные
Шаг 8: Извлечение
1. Нажмите "Start Extraction"
2. Дождитесь завершения (обычно 1-3 минуты)
3. Программа покажет прогресс
4. Сохраните результаты
Шаг 9: Сохранение данных
Сохраните в нескольких форматах:
- Нативный формат программы (.mfd для MOBILedit) — для повторного анализа
- PDF отчёт — для суда
- XML/JSON — для импорта в другие инструменты
- Raw dump — физический образ памяти (если доступен)
Физическое извлечение (продвинутое)
Шаг 10: Создание физического образа
Для физического извлечения нужны специальные инструменты (UFED, Oxygen) или низкоуровневые команды.
Пример с использованием pySIM:
python
from pySim.commands import SimCardCommands
from pySim.transport.pcsc import PcscSimLink
<h2 id="podklyuchenie-k-sim">Подключение к SIM</h2>
sl = PcscSimLink()
sc = SimCardCommands(transport=sl)
<h2 id="chtenie-vsey-pamyati">Чтение всей памяти</h2>
memory_dump = []
for addr in range(0x0000, 0xFFFF):
try:
data = sc.read_binary([hex(addr)[2:]])
memory_dump.append(data)
except:
pass
<h2 id="sohranenie-dampa">Сохранение дампа</h2>
with open('sim_dump.bin', 'wb') as f:
f.write(b''.join(memory_dump))
Анализ извлечённых данных
Шаг 11: Первичный анализ
Откройте отчёт программы и проверьте:
- Количество контактов
- Количество SMS (прочитанных/непрочитанных)
- Последние звонки
- IMSI, ICCID
- Оператор и страна
Шаг 12: Глубокий анализ
Анализ контактов:
- Ищите подозрительные имена
- Проверяйте дубликаты
- Сопоставляйте с другими источниками
Анализ SMS:
- Сортируйте по дате
- Ищите ключевые слова
- Проверяйте удалённые сообщения
Анализ звонков:
- Последние 10-30 звонков
- Частота общения
- Входящие/исходящие/пропущенные
Анализ местоположения (LAI):
- Последний LAI показывает зону покрытия
- Можно определить примерное местоположение
- Полезно для алиби
Документирование результатов
Шаг 13: Создание отчёта
Профессиональный отчёт должен включать:
1. Введение
- Дата и время анализа
- Кто проводил
- Номер дела
- Описание вещдока
2. Методология
- Использованные инструменты (название, версия)
- Метод извлечения
- Проблемы и их решения
3. Результаты
- ICCID, IMSI
- Таблица контактов
- Таблица SMS
- История звонков
- Другие данные
4. Выводы
- Краткое резюме
- Важные находки
5. Приложения
- Скриншоты
- Hex-дампы (если нужно)
- Фотографии SIM
Шаг 14: Chain of Custody
Заполните форму цепочки доказательств:
- Дата и время извлечения
- Кто извлекал
- Кому передано
- Где хранится
- Хеш-сумма дампа (MD5, SHA256)
Безопасное хранение
Шаг 15: Хранение вещдока
- Поместите SIM в антистатический пакет
- Подпишите: дата, дело, описание
- Храните в сухом месте при комнатной температуре
- Не подвергайте магнитным полям и статике
Шаг 16: Резервное копирование данных
- Создайте 2-3 копии дампа
- Храните на разных носителях
- Проверьте хеш-суммы копий
- Зашифруйте конфиденциальные данные
Типы данных и их форензическая ценность
Разные типы данных на SIM-карте имеют разную ценность для расследования.
Идентификационные данные
#### ICCID (Integrated Circuit Card Identifier)
Что это:
Уникальный серийный номер SIM-карты (19-20 цифр).
Структура:
89
[XX] [YY] [ZZZZZZZZZZZZ] [C]
│ │ │ │ └─ Контрольная сумма
│ │ │ └─ Индивидуальный номер
│ │ └─ Код оператора (MNC)
│ └─ Код страны (MCC)
└─ Major Industry Identifier (89 = телеком)
Форензическая ценность:
- Однозначно идентифицирует SIM-карту
- Связь с оператором (запрос данных абонента)
- Отслеживание покупки SIM (где и когда)
- Связь с другими преступлениями (если SIM уже фигурировала)
#### IMSI (International Mobile Subscriber Identity)
Что это:
Уникальный идентификатор абонента в сети (15 цифр).
Структура:
text
[MCC] [MNC] [MSIN]
│ │ └─ Mobile Subscriber Identification Number
│ └─ Mobile Network Code (оператор)
└─ Mobile Country Code (страна)
Форензическая ценность:
- Идентификация абонента
- Определение страны и оператора
- Запрос детализации звонков у оператора
- Отслеживание перемещений (IMSI catchers)
#### MSISDN (Mobile Station ISDN Number)
Что это:
Телефонный номер абонента.
Форензическая ценность:
- Прямой номер для связи
- Поиск в базах данных
- Связь с другими доказательствами
Пользовательские данные
#### Контакты (ADN - Abbreviated Dialing Numbers)
Что хранится:
- Имя контакта (до 20 символов)
- Номер телефона
- Опционально: email, группа
Форензическая ценность:
- Связи подозреваемого
- Идентификация соучастников
- Псевдонимы и клички
- Анализ социальных связей
Пример анализа:
text
Контакты:
1. "Брат" - +79991234567
2. "Работа" - +79997654321
3. "*" - +79995555555 ← Подозрительно (скрытое имя)
#### SMS сообщения
Что хранится:
- Текст сообщения (до 160 символов)
- Номер отправителя/получателя
- Дата и время (если записано)
- Статус (прочитано/непрочитано)
- Тип (входящее/исходящее)
Форензическая ценность:
- Прямые доказательства общения
- Планирование преступлений
- Угрозы, вымогательство
- Договорённости
- Контекст звонков
Важно:
SIM хранит только 20-50 последних SMS. Большинство удаляется автоматически. Для полной истории нужна детализация у оператора или анализ телефона.
#### История звонков
Что хранится:
- Номер (вызывающий/вызываемый)
- Дата и время (не всегда)
- Тип (входящий/исходящий/пропущенный)
- Обычно 10-30 последних записей
Форензическая ценность:
- Последние контакты
- Частота общения
- Время звонков
- Сопоставление с другими доказательствами
Ограничения:
- Малое количество записей
- Часто без даты
- Нет длительности разговора
- Перезаписываются новыми
Системные данные
#### LAI (Location Area Identity)
Что это:
Идентификатор последней зоны покрытия, где была SIM-карта.
Структура:
text
[MCC] [MNC] [LAC]
│ │ └─ Location Area Code
│ └─ Оператор
└─ Страна
Форензическая ценность:
- Приблизительное местоположение (район, город)
- Последнее известное местоположение
- Проверка алиби
- Маршрут перемещения (если есть история LAI)
Точность:
- LAC покрывает несколько базовых станций
- Точность: 5-50 км в городе, больше в сельской местности
- Не GPS — только зона покрытия
#### SIM Toolkit данные
Что это:
Данные приложений SIM Toolkit (мобильный банкинг, платежи, сервисы оператора).
Форензическая ценность:
- История транзакций
- Баланс счёта
- Последние операции
- Доступ к сервисам
Пример:
Подозреваемый использовал мобильный банкинг для перевода денег — информация может быть на SIM.
Специальные данные
#### Forbidden PLMN List
Что это:
Список сетей, к которым SIM не может подключиться (обычно после отказа в обслуживании).
Форензическая ценность:
- Где пытался использовать SIM
- Роуминг в других странах
- Попытки подключения
#### Emergency Call Codes
Что это:
Экстренные номера (112, 911, 101, 102, 103).
Форензическая ценность:
- Проверка, были ли звонки в экстренные службы
- Можно сопоставить с записями служб
Удалённые данные
Восстановление:
При физическом извлечении можно восстановить:
- Удалённые SMS
- Удалённые контакты
- Перезаписанные записи звонков
Метод:
Анализ неиспользуемого пространства (unallocated space) в hex-редакторе.
Пример анализа в HxD:
offset
: 0x0400
Data: 00 00 00 00 48 65 6C 6C 6F ... ← Удалённое SMS "Hello"
Работа с различными поколениями SIM-карт
Разные поколения SIM-карт требуют разных подходов к извлечению данных.
2G SIM (GSM SIM Cards)
Характеристики:
- Первое поколение SIM
- Память: 32-128 KB
- Стандарт: 3GPP TS 11.11
- Простая файловая система
- Используются до сих пор (дешёвые тарифы, старые телефоны)
Особенности извлечения:
- Самые простые для анализа
- Все инструменты поддерживают
- Обычно без сильной защиты
- Легко клонируются
Типичные файлы:
- EF_ICCID
- EF_IMSI
- EF_ADN (контакты)
- EF_SMS
- EF_LND (последние набранные)
Проблемы:
- Малый объём памяти
- Мало данных сохраняется
3G USIM (UMTS SIM Cards)
Характеристики:
- Улучшенная версия для 3G сетей
- Память: 64-512 KB
- Стандарт: 3GPP TS 31.102
- Улучшенная безопасность
- Поддержка Java-аплетов
Особенности извлечения:
- Требуют поддержки USIM в инструменте
- Дополнительные файлы (EF_PSI, EF_ACL)
- Могут содержать аплеты (проверка баланса, услуги)
- Улучшенная защита PIN
Новые данные:
- Phonebook с email
- Группы контактов
- Дополнительные SMS поля
- История местоположений (расширенная)
Проблемы:
- Некоторые старые инструменты не поддерживают
- Аплеты могут быть защищены
4G/5G USIM
Характеристики:
- Поддержка LTE и 5G
- Память: 128-512 KB
- Стандарт: 3GPP TS 31.102 (обновлённый)
- NFC для бесконтактных платежей
- Виртуальные SIM (eSIM)
Особенности извлечения:
- Полная совместимость с 3G методами
- Дополнительные аплеты (Google Pay, Apple Pay)
- Защита NFC данных
- eSIM не извлекается физически
Новые данные:
- Токены для мобильных платежей
- NFC transaction history
- Дополнительные параметры 5G
Проблемы:
- eSIM нельзя извлечь — только через облако
- Защита платёжных данных
- Требуются новейшие инструменты
eSIM (Embedded SIM)
Что это:
Встроенная SIM-карта, впаянная в устройство. Профили загружаются программно.
Характеристики:
- Нет физической карты
- Профили хранятся в памяти устройства
- Переключение операторов через ПО
- Используется в iPhone 14+, новых Android
Извлечение данных:
Метод 1: Через устройство
- Логическое извлечение через телефон
- Требуется разблокировка устройства
Метод 2: Через облако оператора
- Запрос данных у оператора
- Требуется юридическое разрешение
Метод 3: Анализ памяти телефона
- Извлечение профиля eSIM из памяти
- Требуются продвинутые инструменты (Cellebrite Premium)
Проблемы:
- Нельзя извлечь физически
- Зависимость от модели телефона
- Требуется разблокировка устройства
Мультикартовые телефоны (Dual SIM)
Особенности:
- Два слота для SIM
- Оба хранят данные независимо
- Нужно анализировать обе
Рекомендации:
- Маркируйте SIM1 и SIM2
- Анализируйте отдельно
- Сопоставляйте данные
Сравнительная таблица
| Характеристика | 2G SIM | 3G USIM | 4G/5G USIM | eSIM |
|---|---|---|---|---|
| Память | 32-128 KB | 64-512 KB | 128-512 KB | Зависит от устройства |
| Контакты | До 250 | До 500 | До 1000 | Неограниченно (облако) |
| SMS | 20-50 | 50-100 | 100+ | Неограниченно |
| Сложность извлечения | Легко | Средне | Средне | Сложно |
| Инструменты | Все | Большинство | Современные | Специализированные |
| Клонирование | Легко | Возможно | Возможно | Невозможно |
Практические кейсы и примеры расследований
Реальные примеры использования SIM Card Forensics в расследованиях.
Кейс 1: Расследование вымогательства
Ситуация:
Жертва получила SMS с угрозами и требованием денег. Номер отправителя "скрыт" (использовал временную SIM).
Действия:
1. Извлечение SIM жертвы
2. Анализ SMS — обнаружено 3 угрожающих сообщения
3. Номер отправителя: +79991234567
4. Запрос у оператора: SIM зарегистрирована на подставное лицо
5. Анализ LAI: последнее местоположение — район города
6. Камеры наблюдения в районе LAI
Результат:
Подозреваемый задержан через 2 дня. SIM-карта в кармане. Анализ показал: те же SMS в "Исходящих", контакты жертвы. Доказательство вины.
Ключевые данные с SIM подозреваемого:
- SMS жертве в папке "Исходящие"
- Контакт жертвы сохранён (с именем)
- LAI совпадает с местом преступления
Кейс 2: Пропавший человек
Ситуация:
Человек пропал 3 дня назад. Телефон выключен, не отвечает.
Действия:
1. Запрос детализации у оператора по IMSI
2. Последний звонок: 3 дня назад, 22:45, неизвестный номер
3. LAI в детализации: промзона на окраине
4. Поиск в этом районе
Результат:
Человек найден в заброшенном здании (медицинская помощь вовремя). Анализ SIM пропавшего: последний звонок от знакомого, который "забрал покататься".
Ключевые данные:
- Детализация показала точное место последнего звонка (LAI)
- Номер звонившего найден в контактах SIM
- Допрос звонившего → раскрытие обстоятельств
Кейс 3: Наркоторговля
Ситуация:
Подозреваемый в продаже наркотиков. Телефон зашифрован, PIN неизвестен.
Действия:
1. Извлечение SIM без разблокировки телефона
2. Логическое извлечение обошло PIN
3. Анализ контактов: 50+ записей с кодовыми именами ("Клиент1", "Клиент2")
4. Анализ SMS: удалённые сообщения восстановлены
5. Физическое извлечение: найдены переписки о "товаре", ценах
Результат:
Контакты сопоставлены с известными потребителями. SMS — доказательство продажи. Подозреваемый признал вину.
Ключевые данные:
- 50+ контактов с подозрительными именами
- Удалённые SMS с ценами и местами встреч
- История звонков показала частоту общения
- Данные привели к покупателям → дополнительные улики
Кейс 4: Мошенничество с банковскими картами
Ситуация:
Серия списаний с карты жертвы через мобильный банкинг.
Действия:
1. Изъятие телефона жертвы
2. Извлечение SIM
3. Анализ SIM Toolkit: последняя транзакция через мобильный банк
4. Код подтверждения SMS получен на этот номер
5. Но телефон жертвы в это время был дома
Открытие:
Клонированная SIM! Мошенники клонировали SIM жертвы, получили коды подтверждения.
Расследование:
1. Запрос у оператора: обнаружена вторая SIM с тем же IMSI (клон)
2. Клон активировался в другом городе
3. LAI клонированной SIM → местоположение мошенников
Результат:
Мошенники задержаны. У них найдено оборудование для клонирования SIM.
Ключевые данные:
- SIM Toolkit показал транзакции
- Дубликат IMSI выявлен оператором
- LAI клона привёл к мошенникам
Кейс 5: Алиби
Ситуация:
Подозреваемый утверждает, что был в другом городе во время преступления.
Действия:
1. Запрос детализации у оператора
2. LAI показывает: подозреваемый был в городе преступления
3. Извлечение SIM: последние звонки из этого города
4. Анализ LAI на SIM: совпадает с местом преступления
Результат:
Алиби опровергнуто. Подозреваемый признался.
Ключевые данные:
- LAI из детализации: город преступления
- Время звонков совпадает с временем преступления
- Местоположение подтверждено базовыми станциями
Юридические аспекты и цепочка доказательств
Правильное документирование и соблюдение процедур критически важно для допустимости доказательств.
Chain of Custody (Цепочка доказательств)
Что это:
Документированная история вещественного доказательства от изъятия до суда.
Зачем нужно:
- Подтверждение подлинности доказательств
- Исключение подмены или фальсификации
- Юридическая допустимость в суде
- Защита от оспаривания стороной защиты
Обязательные элементы:
1. Идентификация вещдока:
- Описание (SIM-карта, nano-SIM, оператор)
- Номер ICCID (если виден)
- Из какого устройства извлечена
- Состояние (целая, повреждённая)
2. Документация изъятия:
- Дата и время изъятия
- Кто изъял (ФИО, должность)
- Где изъято (адрес)
- При каких обстоятельствах
- Свидетели
3. Хранение:
- Где хранится
- В каких условиях (температура, влажность)
- Кто имеет доступ
- Опечатывание
4. Передача:
- Кто кому передал
- Дата и время
- Подписи обеих сторон
- Цель передачи
5. Анализ:
- Кто проводил
- Какие инструменты использовались
- Дата и время
- Результаты
Форма Chain of Custody:
text
ЦЕПОЧКА ДОКАЗАТЕЛЬСТВ
Дело №: ___________
Вещдок №: _________
Описание: SIM-карта nano-SIM, ICCID 89701011234567890123
Изъято из: iPhone 13, серийный № XXX
Дата/Время | Действие | От кого | Кому | Подпись
--||-|-|-
01.02.2026 | Изъятие | - | Иванов И | ________
10:30
01.02.2026 | Передача | Иванов И | Петров П | ________
14:00 | в лабор. | | |
01.02.2026 | Анализ | Петров П | Петров П | ________
15:00
02.02.2026 | Возврат | Петров П | Хранилище| ________
09:00 | на хранение| | |
Юридические требования в России
ФЗ-152 "О персональных данных":
- SIM содержит персональные данные (контакты, SMS)
- Обработка требует законного основания
- В рамках расследования — разрешение суда или прокурора
УПК РФ:
- Изъятие — с санкции суда или при задержании
- Обыск — постановление следователя
- Экспертиза — постановление о назначении экспертизы
Статья 183 УПК РФ (Обыск):
Право изымать предметы, в том числе SIM-карты, если есть основания полагать, что они содержат информацию о преступлении.
Статья 186 УПК РФ (Прослушивание):
Не применяется к SIM-картам — это хранилище данных, а не канал связи.
Форензическая корректность
Принципы:
1. Неизменность:
- Оригинал не должен быть изменён
- Работа с копией (дампом)
- Хеш-суммы до и после
2. Воспроизводимость:
- Другой эксперт должен получить тот же результат
- Документирование всех шагов
- Использование проверенных инструментов
3. Документирование:
- Запись всех действий
- Скриншоты ключевых моментов
- Фотографирование вещдока
Создание форензической копии:
bash
<h2 id="1-hesh-summa-originala-do-izvlecheniya">1. Хеш-сумма оригинала (до извлечения)</h2>
md5sum /dev/smartcard > sim_original.md5
sha256sum /dev/smartcard > sim_original.sha256
<h2 id="2-sozdanie-dampa">2. Создание дампа</h2>
dd if=/dev/smartcard of=sim_dump.bin bs=1
<h2 id="3-hesh-summa-dampa">3. Хеш-сумма дампа</h2>
md5sum sim_dump.bin > sim_dump.md5
sha256sum sim_dump.bin > sim_dump.sha256
<h2 id="4-sverka-heshey">4. Сверка хешей</h2>
diff sim_original.md5 sim_dump.md5
Типичные ошибки и как их избежать
Ошибка 1: Изменение данных
- Неправильное извлечение → изменение статуса SMS ("непрочитанное" → "прочитанное")
- Решение: Используйте специализированные инструменты, не телефон
Ошибка 2: Отсутствие Chain of Custody
- Доказательство оспорено в суде
- Решение: Ведите документацию с момента изъятия
Ошибка 3: Неправильное хранение
- SIM повреждена статикой или влагой
- Решение: Антистатические пакеты, сухое место
Ошибка 4: Работа без разрешения
- Незаконное получение доказательств
- Решение: Санкция суда/прокурора до начала работы
Ошибка 5: Попытка подбора PIN
- Блокировка SIM после 3 попыток
- Решение: Не угадывайте PIN, используйте обход или физическое извлечение
Подготовка отчёта для суда
Структура экспертного заключения:
1. Вводная часть:
- Номер дела
- Кто назначил экспертизу
- Эксперт (ФИО, квалификация, стаж)
- Вопросы, поставленные перед экспертом
2. Описание вещдока:
- SIM-карта (форм-фактор, оператор)
- ICCID
- Состояние при получении
3. Методология:
- Использованные инструменты (название, версия, производитель)
- Метод извлечения (логический/физический)
- Дата и время анализа
4. Результаты:
- Таблицы данных (контакты, SMS, звонки)
- Идентификационные данные (IMSI, MSISDN)
- Местоположение (LAI)
5. Выводы:
- Ответы на поставленные вопросы
- Обнаруженные данные
- Их значение для дела
6. Приложения:
- Скриншоты
- Фотографии SIM
- Hex-дампы (если требуется)
- Сертификаты инструментов
Пример вывода:
"На основании проведённого анализа установлено, что SIM-карта с ICCID 89701011234567890123 содержала 3 SMS-сообщения, отправленные на номер +79991234567 в период с 20:00 до 22:00 01.02.2026. Последнее известное местоположение SIM-карты (LAI): район Центральный, г. Москва."
Часто задаваемые вопросы
Можно ли восстановить удалённые SMS с SIM-карты?
Да, но не всегда. При физическом извлечении можно восстановить некоторые удалённые SMS, если они ещё не были перезаписаны новыми данными. Успех зависит от времени удаления и активности использования SIM. Логическое извлечение удалённые данные не восстановит.
Что делать, если SIM заблокирована PIN-кодом?
Не пытайтесь подобрать PIN — после 3 неверных попыток SIM заблокируется. Используйте профессиональные инструменты (Cellebrite UFED, MOBILedit), которые обходят PIN через специальные команды чтения. Если обход невозможен, запросите PUK-код у оператора (требуется юридическое разрешение).
Сколько данных хранится на SIM-карте?
Это зависит от типа SIM и оператора. Обычно: 20-50 SMS, 10-30 последних звонков, до 250-500 контактов. Современные 4G/5G SIM могут хранить больше. Большинство данных хранится в памяти телефона, а не на SIM.
Можно ли определить местоположение по SIM-карте?
Только приблизительно через LAI (Location Area Identity). LAI показывает зону покрытия (5-50 км), но не точные координаты. Для точного местоположения нужна детализация у оператора с данными базовых станций или GPS-данные из телефона.
Чем отличается логическое извлечение от физического?
Логическое извлечение читает только "доступные" данные через стандартный интерфейс (контакты, SMS, звонки). Физическое создаёт полный образ памяти, включая удалённые данные и скрытые области. Физическое требует специальных инструментов и даёт больше информации.
Можно ли клонировать SIM-карту?
Технически да, используя специальные программируемые SIM-карты (SIMID Access Cards). Однако для клонирования нужен Ki (ключ аутентификации), который защищён. В форензике клонирование используется для сохранения оригинала как вещдока и работы с клоном.
Нужно ли разрешение суда для анализа SIM?
В России — да, если это часть уголовного расследования. Изъятие SIM требует санкции суда (обыск) или происходит при задержании. Анализ проводится по постановлению следователя о назначении экспертизы. В частных случаях (например, расследование работодателя) требуется согласие владельца.
Работают ли эти методы с eSIM?
Нет, eSIM нельзя извлечь физически, так как она встроена в устройство. Данные eSIM извлекаются только через анализ памяти телефона (требуется разблокировка устройства) или запрос у оператора. Профили eSIM хранятся в памяти устройства, а не на отдельном чипе.
Как долго хранятся данные на SIM?
Данные на SIM хранятся бесконечно долго, пока не будут удалены или перезаписаны новыми. EEPROM память энергонезависима. Однако некоторые данные (SMS, звонки) перезаписываются автоматически при заполнении памяти (циклический буфер).
Можно ли анализировать SIM бесплатными инструментами?
Да, существуют бесплатные инструменты: TULP2G, pySIM, Autopsy (с модулями). Однако они требуют технических знаний и не всегда форензически корректны. Для профессиональной работы рекомендуются платные решения (Cellebrite, MOBILedit), которые создают правильные отчёты для суда.
Какой SIM-ридер купить для форензики?
Для начинающих подойдёт универсальный PC-SC ридер (~$30): Gemalto IDBridge CT30, SCM SCR3310. Для профессионалов — UFED Multi SIM Adapter (в составе Cellebrite UFED) или специализированные форензические ридеры с write-blocker функцией.
Можно ли извлечь данные из повреждённой SIM?
Зависит от повреждения. Если чип цел, но сломан пластик — да, можно использовать специальные адаптеры или припаять провода к контактам. Если чип повреждён (трещина, ожог) — извлечение невозможно или требует специализированной лаборатории с микроскопом.
Заключение: Лучшие практики SIM Card Forensics
SIM Card Forensics остаётся важным инструментом в арсенале цифрового криминалиста. Несмотря на переход к eSIM и хранению данных в облаке, физические SIM-карты всё ещё широко распространены и содержат критически важные доказательства.
В этой статье мы разобрали:
- Структуру SIM-карт и типы хранимых данных
- Методы извлечения (логическое и физическое)
- Инструменты для анализа в 2026 году
- Пошаговое руководство по извлечению данных
- Практические кейсы из реальных расследований
- Юридические аспекты и цепочку доказательств
Ключевые выводы:
Для начинающих:
- Начните с логического извлечения — проще и быстрее
- Используйте бюджетные ридеры (~$30) + доступные инструменты
- Обязательно документируйте каждый шаг
- Изучите основы файловой системы SIM
Для практиков:
- Используйте комбинацию методов: физическое + логическое
- Инвестируйте в профессиональные инструменты (Cellebrite, MOBILedit)
- Создавайте форензические копии (дампы) с хеш-суммами
- Работайте только с копиями, сохраняя оригинал
Для экспертов:
- Автоматизируйте рутинные процессы (скрипты Python)
- Используйте несколько инструментов для проверки результатов
- Изучайте нестандартные файлы и скрытые области
- Следите за новыми методами обхода защиты
Лучшие практики 2026:
1. Безопасность вещдока:
- Антистатические пакеты для хранения
- Не подвергайте магнитным полям
- Фотографируйте до и после извлечения
- Маркируйте каждую SIM
2. Форензическая корректность:
- Chain of Custody с момента изъятия
- Хеш-суммы до и после анализа
- Работа только с копиями
- Документирование всех действий
3. Юридическая чистота:
- Санкция суда перед изъятием
- Постановление о назначении экспертизы
- Соответствие УПК РФ и ФЗ-152
- Правильное оформление отчётов
4. Технические аспекты:
- Используйте актуальные инструменты (2025-2026 версии)
- Обновляйте базы сигнатур и драйверы
- Проверяйте совместимость с новыми SIM
- Имейте план B (второй инструмент)
Будущие тенденции:
eSIM растёт:
Всё больше устройств используют eSIM. Изучайте методы извлечения через облако и память устройства.
Шифрование усиливается:
Операторы улучшают защиту данных на SIM. Готовьтесь к новым вызовам.
ИИ в анализе:
Инструменты 2026 года используют машинное обучение для автоматического анализа связей, восстановления данных, поиска паттернов.
Облачная синхронизация:
Контакты и SMS всё чаще хранятся в облаке (iCloud, Google). SIM становится "просто идентификатором", но всё ещё содержит важные данные.
Рекомендуемые ресурсы:
Обучение:
- Cellebrite Certified Mobile Examiner (CCME)
- EnCE (EnCase Certified Examiner)
- Курсы по мобильной криминалистике
Литература:
- "Practical Mobile Forensics" by Heather Mahalik
- 3GPP Specifications (TS 11.11, TS 31.102)
- NIST Guidelines on SIM Forensics
Сообщества:
- Форум ForensicAnvil (/forum/mobile-forensics)
- Forensic Focus Forums
- Reddit r/computerforensics
