第23章 终端指纹
诗和远方提示您:看后求收藏(
http://m.biqugess.com)
『如果章节错误,点此举报』第(1/3)页
06:03,手机屏幕在黑暗里亮起一瞬,像一枚冷硬的信号弹,把周砚从浅眠里直接拽醒。
不是闹钟,也不是项目群的提示音,而是一封邮件的推送提醒——发件人显示为“信息安全部(系统)”,主题只有六个字,却足以让人的神经在一秒内绷到极致:
《302设备封存结果》
周砚没有立刻点开。他先坐起身,手掌按在床沿边缘,指腹触到木头的纹理,确认自己是清醒的;随后才把手机亮度调低,点进邮件。
邮件正文很短,像一张被刻意压平的纸:
“根据封存流程,302会议室公用电脑已完成镜像取证。初步提取到涉事时段(18:30—19:10)本地事件日志、登录尝试记录及部分系统安全日志。相关材料将于今日09:30前提供至共享盘指定目录(仅限授权人员访问)。请相关方按流程核验并反馈。”
抄送:梁总、法务、HR主管、信息安全部负责人。
周砚盯着“部分系统安全日志”四个字,眼神微微一冷。
“部分”意味着剪裁空间;剪裁空间意味着叙事空间;叙事空间意味着——他们可以只拿出对自己有利的片段,把关键证据继续藏在“无法提供”的灰区里。
视野边缘,蓝色面板像冷白灯一样亮起:
【关键节点:设备镜像=可得到“终端指纹”(设备、账号、时间、进程、来源IP、输入痕迹)】
【风险预警:对方可能只提供“摘要”,隐去能定位具体操作者的细节(如键盘布局、浏览器缓存、输入法记录、USB插拔、最近打开文件)】
【行动要求:不争“是否有”,只要求“完整字段”,以审计需要为由逼出原始日志或可核验导出】
周砚放下手机,起身洗漱。水流声很稳,镜子里的人眼下有淡淡的青,但眼神比昨晚更清醒。开放日的现场抽查已把项目推入“可被认可的结果区间”,对手已经失去用“工作能力不足”来否定他的理由,剩下能用的武器,只剩合规与责任归属——而302这条链,是他们最怕被钉死的一条。
07:22,周砚到公司。
办公区的空气比平时更冷,像中央空调把昨夜的紧张还没吹散。周砚刚坐下,项目群就炸出一条消息——不是阿远,也不是运营,而是HR主管:
“@全体 昨日开放日执行顺利,感谢各组配合。后续对外沟通与资料发放仍需严格遵守个人信息处理规范,具体以法务最新版本为准。”
她的语气一如既往温柔,像在撒一层糖粉。但周砚只从里面读到两个字:收权。
他没回应群消息。回应没有意义,行动才有意义。
08:11,王珊发来一条简短的语音转文字:“领导今天内部会表扬了核验台流程,说你们这套‘证据路径+抽查记录’做得很专业。下阶段重点:二次预约转成交,开放日到访的后续跟进要快,别拖。”
周砚回复:“明白。今天12点前我同步D3闭环日报,16点前同步‘到访后跟进SOP+话术卡+时间节点’,确保48小时内完成第一轮二次触达。”
他把对话截图归档,放进“甲方背书/开放日评价”目录。每一次甲方认可,都是对内部切割的反击。
08:46,梁总发来消息:“09:40来我办公室一趟。302日志到了,别在群里吵。”
“收到。”周砚回完,把文件袋放到桌边,打开共享盘“302追溯”目录,提前新建了一个文件夹:202X-XX-XX_302镜像日志_待核验。文件夹里放好模板:字段核验清单、问题清单、回函模板、哈希记录表。等材料一到,就能立刻把节奏抢回来。
09:28,信息安全部把材料放上来了。
共享盘目录里出现四个文件:
1)《302终端事件摘要(涉事时段)》
2)《登录失败记录导出(19:01-19:03)》
3)《系统安全日志片段(涉事时段)》
4)《镜像取证说明(摘要)》
周砚点开第一个文件,眉头微微皱起。
“摘要”两字,写在文件名里,像对他的一种挑衅。里面只有表格化的几条信息:开机时间、解锁时间、登录失败时间、失败账号、失败原因(密码错误)、来源IP(内网段)、会话ID(若干)、系统策略触发(保护模式)。没有键鼠活动摘要、没有USB设备插拔记录、没有远程连接记录、没有进程启动详细列表,更没有“最后活跃用户”的SID信息。
这不是“取证结果”,这是“能让人停在灰区的供稿”。
周砚没有急躁。他打开“字段核验清单”,把缺失项一条条列出来:
- 事件日志原始导出格式(evtx或等效可核验格式)
- 安全日志4625/4648/4672等失败/凭据使用事件完整字段
- 设备本地用户会话列表与最后交互用户SID
- 输入法/键盘布局更改记录(用于辨别操作者习惯)
- USB插拔与外设记录(若有)
- 浏览器缓存与最近访问记录(若有)
- 远程桌面/远程协助痕迹(若有)
- 计划任务/脚本执行记录(若有)
- 设备网络接口连接/断开与AP接入关联(若可)
他把清单保存为《302镜像字段缺口清单-v1.0》,生成哈希,上传共享盘,同步梁总。
09:40,梁总办公室。
梁总坐在桌后,桌上放着打印出来的几页摘要材料。他没寒暄,开门见山:“你怎么看?”
周砚把文件袋放到椅侧,先说结论,再说理由:“现在这批材料不足以形成追溯结论。它能证明‘失败登录发生在302’,但不能证明‘谁操作了302’,也无法排除‘脚本/远程/计划任务’。摘要缺了关键字段,容易被用来做‘无法锁定单一责任人’的结论。”
梁总眼神一沉:“信息安全部说这已经是他们能提供的。”
周砚语气不变:“那就让他们出具‘不能提供的理由与替代核验方案’,并由法务确认这不影响定性。否则他们一句‘无法提供’,就能把责任推回账号持有人。现在是项目事故风险,不能靠摘要。”
梁总沉默几秒,抬手敲了敲桌面:“你想要什么?”
周砚把字段缺口清单递过去:“三件事。第一,要求提供原始日志导出或等效可核验格式,不接受只有摘要;第二,补充门禁刷卡人员与设备前后时段的交叉验证——谁刷卡进入后,设备是否出现唤醒/键鼠活动;第三,给出‘临时结论’措辞:在完整字段未提供前,不得对外形成倾向性定性,不得写‘账号持有人管理不当’。”
梁总看完清单,点头:“我来压。你继续把项目跑起来,别让这条线拖住你。”
周砚起身前补了一句:“还有一件事。昨天开放日后法务发的那份‘事后改写说明’,我已经拒签并要求重拟。请您把这个动作也纳入风险控制,否则他们会用文件偷走成果归属。”
梁总抬眼看他:“我知道。你继续留痕。”
10:17,回到工位,周砚不等信息安全部“补充”,直接先发起一封正式邮件请求,收件人:信息安全部负责人,抄送:梁总、法务。
主题:《302终端镜像取证材料补充请求(需提供可核验原始日志字段)》
正文极短,四点要求精准落地:
“1)请提供涉事时段Windows安全日志原始导出(evtx或等效可核验格式),至少包含失败登录事件的完整字段(事件ID、目标账号、来源进程、来源IP、工作站名、登录类型、调用凭据ID等);
2)请提供设备本地交互用户会话列表与最后活跃用户SID/用户名,并标注涉事
(本章未完,请翻页)
第23章 终端指纹
『加入书签,方便阅读』
第23章 终端指纹 我把废案写成爆款
