屏幕上的日志记录定格在两点十四分三十六秒,文件导出命令像一枚钉子,把老夫子的视线死死按在那一行路径上。
他没动,也没说话,只是慢慢把椅子往后拉了一寸,像是怕惊到什么藏在数据深处的东西。
几秒后,他掏出手机,飞快敲了条消息发出去:“在吗?紧急技术支持。”
回得很快——“五分钟后茶水间。”
老夫子合上笔记本,起身时顺手把桌角那杯冷掉的咖啡推到一边。杯子底下压着一张便签纸,上面是他刚才随手画的几个时间点和箭头,连起来像个歪歪扭扭的迷宫。他看都没看一眼,直接把纸揉成团扔进垃圾桶。
五分钟后,秦先生拎着个黑色双肩包出现在茶水间门口,领带松了一半,手里还捏着半块没吃完的三明治。
“又出事了?”他咬了一口,含糊地问。
“比上次严重。”老夫子靠在墙边,声音压得很低,“U盘动了,目标是核心项目备份,路径都记下来了。”
秦先生咽下食物,眉头一皱:“你查到是谁?”
“林哲。技术部那个总低头走路的。”
“哦,我想起来了。”秦先生点头,“上个月系统升级他还问我能不能偷偷改权限日志。”
老夫子挑眉:“你没答应吧?”
“我说我脑子没坏。”
两人对视一眼,默契地转身往办公区走。路过打印机时,秦先生顺手抽出一张纸塞进包里,动作自然得像每天都在干这事。
回到工位,老夫子重新打开笔记本,调出U盘接入记录,把那段导出路径指给秦先生看。
“问题不在这里。”秦先生盯着屏幕,“真正麻烦的是,这种操作通常会留下传输痕迹。如果他已经把文件送出去,我们现在追的就是个空壳。”
“所以他用了远程通道。”老夫子点开金手指界面,一道细长的数据流图谱缓缓展开,“我刚才扫了一遍公司内网,发现有个异常连接,Ip伪装得很漂亮,但心跳频率不对——像是定时唤醒的幽灵账户。”
秦先生凑近看了看:“你打算黑进去?”
“不。”老夫子摇头,“咱们走正门。你申请个临时管理员权限,就说排查文件室终端的安全漏洞。”
“这理由太假了。”
“那就加个真实的——今天上午大番薯砸了一地报表,行政刚发邮件说要彻查责任归属。”
秦先生笑了:“这倒是个好借口。谁让那位仁兄能把一张A4纸摔出雪崩效果。”
十分钟后,权限到手。秦先生插上加密U盘,打开一个灰色窗口,输入一串指令。屏幕闪了一下,进入沙箱环境。
“开始反向模拟。”他说。
老夫子启动金手指的预判模块,将林哲的账号行为模式导入系统。时间轴自动铺开,密密麻麻的登录记录像雨点般落下。
“你看这儿。”老夫子指着某条凌晨三点的活动轨迹,“每次上线都不超过四分钟,但从不浏览内部文档,只访问外部邮箱中转站。”
秦先生放大那条记录:“而且用的是境外加密服务,普通审计根本抓不到内容。”
“所以得靠语义分析。”老夫子切换功能模块,设定关键词过滤规则,“我们找‘报价’‘打包’‘删除记录’这类词,再结合发送频率和接收方域名特征。”
程序运行起来,进度条缓慢推进。两人屏息看着屏幕,办公室的空调嗡嗡作响,像在打节拍。
突然,提示音响起。
三条邮件被标记为高危。
第一封标题写着《q2项目进度反馈》,正文却是一段乱码;第二封来自一个以数字结尾的邮箱,回复内容只有两个字:“已收”;第三封最直接——“尾款五万已汇,下次资料请按新格式压缩,密码沿用上次规律。”
秦先生吹了声口哨:“这都能写进教科书了。”
“还不止。”老夫子翻到底部附件列表,手指一顿,“你看这个文件名。”
秦先生眯眼读出来:“project_Alpha_Final_Encrypted……这不是核心源码的命名规则吗?”
“对。”老夫子点头,“而且大小匹配。我们之前估算过,完整备份加上日志文件,正好是这个体积。”
“现在只要找到它从哪传出去的。”
“已经有了。”秦先生调出网络拓扑图,一条隐藏隧道浮现在画面中央,“这是他的远程桌面通道,伪装成视频会议流量,每晚固定时间激活一次。”
“今晚就能抓现行?”
“不急。”老夫子冷笑,“先下载证据。等他以为风平浪静的时候,再给他来一记闷棍。”
秦先生立刻创建下载任务,目标锁定那份加密文件。进度条开始爬升:1%、3%、7%……
“要九十分钟才能下完。”秦先生低声说,“太大了,还得实时解密。”
老夫子盯着屏幕,忽然道:“你去走廊看看,林哲还在不在位置上。”
秦先生起身,假装去接水,绕到窗边时故意放慢脚步。回来后轻轻摇头:“工位没人,估计去洗手间了。”
“抓紧时间。”
两人重新聚焦屏幕。进度条跳到45%,速度略有提升。
“他要是用手机同步呢?”秦先生突然问。
“不会。”老夫子摇头,“这种级别的文件,手机传不出去。他得用电脑,还得连专用接口。”
话音未落,秦先生猛地抬头:“他回来了!”
老夫子瞳孔一缩,手指瞬间移到终止键上。
“多少了?”
“七十八。”
“够了。”老夫子果断切断连接,关闭沙箱,清空缓存日志,“走,去茶水间。”
两人迅速撤离座位,刚走到饮水机旁,就看见林哲从走廊拐角出现。他走路姿势有点僵,右手插在裤兜里,像是攥着什么东西。
秦先生拿起水壶装模作样地灌水:“你说打印机最近是不是特别卡?我这边文档老是打一半停住。”
“可能是驱动问题。”老夫子接过话,“要不你重装一下试试?”
他们一边聊一边观察监控小窗。林哲坐下后没有立刻开电脑,而是先看了眼四周,确认没人注意自己,才缓缓登陆系统。
几秒钟后,他的鼠标点开了一个隐藏文件夹。
“他在检查传输记录。”老夫子低声说。
“发现异常了吗?”
“暂时没有。我们断得及时,没留下痕迹。”
秦先生松了口气:“那接下来怎么办?等他再传一次?”
“不。”老夫子摇头,“这次我们留了后门。金手指已经在他下次登录时植入追踪标记,只要他一连远程服务器,我们就能实时获取完整路径。”
“包括对方是谁?”
“包括钱打到哪个账户。”
秦先生咧嘴一笑:“这下可真是连根拔起了。”
老夫子没笑。他盯着远处那个埋头操作的身影,语气平静:“他以为自己很聪明,其实每一步都被算死了。”
“那你准备什么时候动手?”
“等他第二次传送文件的时候。”老夫子顿了顿,“那时候证据链闭合,谁都救不了他。”
“万一他警觉了呢?毕竟上次中断得太突然。”
“那就让他觉得没事。”老夫子从包里拿出一张新的便签纸,写下一行字:建议加强It设备巡检频次,重点排查非登记外接设备使用情况。
他折好纸条,递给秦先生:“你待会交给行政小李,就说是我提的常规安全建议。”
秦先生接过纸条,忍不住笑:“你还真会演。”
“不是演。”老夫子淡淡道,“我只是让他相信,我们关心的是流程,而不是他这个人。”
两人又聊了几句无关紧要的技术问题,随后各自返回工位。办公室恢复安静,键盘敲击声此起彼伏。
老夫子坐回椅子,打开加密云盘,把刚才截取的邮件记录和部分文件片段上传保存。进度条走到最后一点时,他忽然注意到一条新提示:
【检测到异常进程唤醒——目标终端正在打包新文件】
时间显示:下午三点零七分。
他立刻切换监控界面,发现林哲的电脑正在生成一个新的压缩包,命名规则与之前一致。
“这么快就来了?”他低声自语。
他点开金手指的追踪模块,准备启动远程捕获。
就在这时,身后传来一阵脚步声。
老夫子回头一看,林哲正站在不远处的复印机前,双手抱着一叠资料,目光直直地望过来。