取证知识点1.0

### 银行卡

银行卡银行卡识别码：常规银行卡前6位

swift code    是*银行识别码*

一、SWIFT Code
1.定义：

银行国际代码(SWIFT Code)是由SWIFT协会提出并被ISO通过的银行识别代码，凡该协会的成员银行都有自己特定的SWIFT代码。在电汇时，汇出行按照收款行的SWIFT CODE发送付款电文，就可将款项汇至收款行。该号相当于各个银行的身份证号，其原名是BIC(Bank Identifier Code)，

每家申请加入SWIFT组织的银行都必须事先按照SWIFT组织的统一原则，制定出本行的SWIFT地址代码，经SWIFT组织批准后正式生效。

2.编码规则：

SWIFT银行识别代码，一般是8位或11位，由以下几部分构成：

银行代码（Bank Code）：由四位易于识别的银行行名字头缩写字母构成；

国家代码（Country Code）：根据国际标准化组织的规定由两位字母构成；

地区代码（Location Code）：由两位数字或字母构成，标明城市；

分行代码（Branch Code）：由三位数字或字母构成，标明分支机构。

以中国银行上海分行为例 ，其银行识别代码为BKCHCNBJ300。其含义为：BKCH（银行代码）、CN（国家代码）、BJ（地区代码）、300（分行代码）。

3.适用地区

大部分国家和地区都使用，适用范围很广，包括中国。

二、IBAN
1.定义：IBAN是指国际银行帐户号码(The International Bank Account Number),简称IBAN,是由欧洲银行标准委员会(European Committee for Banking Standards,简称ECBS)按照其标准制定的一个银行账户号码。参加ECBS的会员国的银行帐户号码都有一个对应杜IBAN号码，IBAN只适用于欧洲。

2.编码规则：IBAN的编号规定包括国别代码+银行代码+地区+账户人账号+校验码，IBAN号码最多是34位字符串。

3.IBAN和SWIFT Code的区别：

通过编码规则，可以看出，IBAN和SWIFT Code不同的是，通过IBAN不仅可以识别具体的银行，还可以识别具体银行的账户人账号。而SWIFT Code只能识别具体的银行，而无法识别到银行内的具体账户号码。

4.温馨提示：

IBAN只适用于欧洲，当在欧元区未使用IBAN账号时，会被额外收取人工干预费。
中国的银行是没有IBAN号码的。
三、ABA Number
1.定义:

ABA Number是由ABA(美国银行家协会)在美联储监管和协助下提出的金融机构识别码，用于和银行相关交易，转账，清算等的路由确认。也称作Routing Number。

2.编码规则：

编号由9位（8位内容+1位验证码）组成。例如：美国富港银行ABA号码是021508125。

3.适用范围：

美国和北美地区。

四、BSB Number
1.定义：

BSB Number，即Bank State Branch Number，是在澳大利亚等地使用的电汇清算网络编码，是澳大利亚银行和其他金融机构的唯一标识符。在汇款和转账过程中提供BSB Number可准确识别银行和其他金融机构，以确保资金准确汇入指定银行的账户。

2.编码规则：

BSB Number由三部分组成，共6位数字编码。前两位数字代表金融机构所在州或领地的编号，第三位数字代表金融机构的类型，以及其在目前所在州或领地中的位置。

前两位数字：可以是01-99中的任何数字。

第三位数字：可以是0-9之间的任何数字。

后三位数字：代表金融机构的具体分支机构。

3.适用范围：

主要在澳元、新西兰元的银行，以及向澳洲办理清付结算时使用。适用范围比SWIFT code 小很多。

证据的概述及分类

证据定义

* 能表明一个信仰或命题为真火有效的信息或符号
* 能用来在合法的调查活动中断定事实真相，活能在法庭上被采信的信息

证据的分类

* 实物证据
* 最佳证据
* 直接证据
* 情况证据
* 传闻证据
* 经营记录

另外两个

* 电子证据
* 基于网络的电子证据

##### 实物证据

定义：在一个正在被审判的事件中，扮演了某个角色、任何物理的和有形的对象

例子：它可以是从被害人身上拔下来的一把刀子，可以是打出子弹的枪，也可以是双方以及签署的合同的物理副本。在我们的领域中，它可以是从中恢复数据的硬盘，或者涉案物理计算机中余下的所有其他物理组件

“实物证据”例子有

* 凶手使用的武器
* 指纹或脚印
* 已经签署的合同
* 物理硬盘或USB村粗设备
* 计算机本身——机架，键盘以及所有外设

##### 最佳证据

定义：法庭上所能产生的最好证据

例子：如果无法获得原始物证，你们在“最佳证据原则”下，含有其内容的替代证物也可能被采信。例如，如果一份以及签署的合同已被毁，而它的副本却被留了下来，你们该副本也可能被采信。但如果原始证物还在，且能被采信，那么仅仅拿到副本就不够了

“最佳证据”例子有：

* 犯罪现场的照片
* 以及签署合同的副本
* 从硬盘上恢复出来的一个文件
* 网络中传输数据的逐比特快照

##### 直接证据

定义：“直接证据”是由行为或现场直接证人被审理行为的直接目击者提供的证词。

“直接证据”的例子有：

* “我看见他刺中了那个家伙”
* “她给我看了一个不恰当的视频影像”
* “我看着他正在用‘John the Ripper'和一个他不应该拥有的’password‘文件破解口令。”
* “我看见他带那个USB设备”

##### 情况证据

定义：相对于“直接证据”，“情况证据”是一种不能直接支持某一论点的证据。相反，情况证据可能和其他证据一起使用，用来退出一个结论

例子：通常情况证据是被用来确认电子邮箱、聊天记录或其他电子证据的产生者。相应的，对于确立正式性来说，身份验证是必须的，这意思证据能被法庭采信的要求之一

“情况证据”例子有

* 一个·电子邮箱签名
* 在被告人计算机中找到的，一个含有口令hash的文件
* USB设备的序列号

##### 传闻证据

定义：”传闻证据“是指二手证人，也就是当前审理行为的非直接目击者，提供的证词。

例子

“传闻证据”的例子有：

* “这家伙告诉我，那事是他干的”
* “他告诉我，他知道是谁干的，而且愿意作证”
* “我看见一份关于整件事情结束过程的记录
* 含有私人信件的一份文本文档

##### 经营记录

定义：经营记录可以是如何因为正常的经营活动，企业例行产生和保留的，被认为足够精确能用作经营决策基础的文档

例子：

“经营记录”的例子有：

* 合同和其他雇佣协议
* 发票和收到付款的凭证
* 路由器中保留的访问日志
* /var/log/messages

##### 电子证据

定义：“电子证据”可以是在诉讼活动中满足“证据”要求，但是以电子数据的形式存在的任何文档。

例子：电子证据可能存在于磁盘的细小扇区中，易某种不以灭失的形式存在，用磁性大小强弱，通过多个相互独立的，晦涩难懂的抽象层和文件系统协议表示数据。在另一些情况里，电子证据可能是存储在易灭失的存储器中的电压，在系统断电后几秒钟内就会小时。相对于光子脉冲无线电射频或铜制线缆中不同的电压，电子数据可能是更无形，更易变化。

“电子证据”例子有：

* 电子邮件和网络聊天会话
* 发票和收到的付款凭证
* 路由器中保留的访问日志
* /var/log/messages

##### 基于网络的电子证据

定义：基于网络的电子证据是指因为通过网络进行通信而产生的电子数据

例子：计算机的第一和第二存储介质（即内存和硬盘）有望成为取证分析的上佳检材

借助于数据残留和能长期村粗的特性，可以使文件被删除或存储器被挪作它用几个小时，几天甚至几年之后相关证据仍能被司法意义上恢复出来。相反，基于网络的电子证据却极易灭失的。数据包在几微妙内技能通过网线，在眨眼之间就会从交换机中小说。根据我们查看网页时间和地点的不同，网页的内容也会有所变化。

“基于网络的电子证据”的例子有

* 电子邮箱和网络聊天会话
* 浏览器活动，包括基于Web的电子邮件
* 路由器中保留的访问日志
* /var/log/messages

### 网络取证方法

* 获取信息
* 制定方案
* 收集证据
* 分析
* 出具报告

##### 获取信息

不论你是执法人员，还是公司内部的安全管理员，或是取证顾问，在调查开始之初，你必须想到要求两件事：获取关于应急事件本身的信息和获取有关环境的信息

###### 应急事件

###### 环境

###### 制定方案

###### 收集证据

###### 分析

###### 出具报告