第23章 终端指纹
诗和远方提示您:看后求收藏(
http://m.biqugess.com)
『如果章节错误,点此举报』第(3/3)页
的来源。
周砚的指尖在纸上迅速圈出那条“不同子网”。这意味着:至少有一次尝试不是纯本机键盘输入,有可能是通过网络调用或远程触发。只要把这条钉住,所谓“账号持有人管理不当”的结论就站不住——你不能要求账号持有人管理一个从不同子网发起的登录触发。
他继续追问:“有没有4648事件?有没有保存凭据调用?”
工程师翻找,脸色有点僵:“有少量4648,但字段需要进一步解读。”
周砚抬眼看法务:“请记录:存在4648凭据使用事件,需进一步确认是否为脚本或系统调用。该点在结论出具前不得排除非人工触发。”
法务笔尖停了一下,还是写了。
周砚又问:“远程桌面/远程协助痕迹呢?比如RDP相关事件?”
工程师说:“没有明显RDP连接事件。”
周砚不争:“请记录:未发现明显RDP痕迹,但存在不同子网来源与4648,仍需排除其他远程触发方式或计划任务。”
他继续看“设备唤醒与键鼠活动”。日志显示:18:48附近设备从空闲状态唤醒一次,随后在18:50-18:55有短时间操作活动;19:00前后再次出现活动,然后19:01开始失败登录。
18:48。
正好落在监控缺失区间。
周砚的呼吸稳了一下。他没有露出任何情绪,但心里那根线已经被拉成一条直线:监控缺失遮住的,就是设备唤醒与操作的那段前置动作。门禁里王XX在18:46进入,监控从18:47缺失,设备18:48唤醒,这不是巧合,是链路。
周砚把这个时间点圈得更重:“请给出该唤醒事件的详细字段:唤醒来源(键鼠/电源按钮/网络唤醒)。”
工程师试图点开字段,却发现系统显示有限。他说:“我们需要从系统日志里再找。”
周砚不催,只说:“请记录:唤醒事件发生于18:48,处于监控缺失区间,唤醒来源需进一步确认。该点为追溯关键。”
半小时很快到了。严负责人看表:“时间差不多了。”
周砚抬眼,语气平静但不容退:“今天核验必须形成书面纪要,纪要要写清楚三点:1)存在不同子网来源的登录尝试;2)存在4648凭据使用事件需排除脚本/系统调用;3)18:48发生设备唤醒处于监控缺失时段,唤醒来源需补证。纪要由你们起草,但我要核对签字,并抄送梁总。”
严负责人沉默几秒,点头:“可以。”
17:12,核验纪要草稿发来。
周砚逐字核对,把“不同子网来源”写得更明确,把“4648需进一步确认”写成“未排除非人工触发”,把“设备唤醒来源待补证”写成“关键待查项”。确认无误后,他签字,拍照归档,上传共享盘,并把纪要发给梁总与法务。
18:03,梁总回了一句:“好。”
这句“好”,意味着302这条线终于从“无法确认”被拉回到“必须补证”。
但周砚知道,对手不会坐等补证。他们会在你逼近真相时,用另一个漏洞把你拖走:比如平台投诉、比如用户隐私、比如“未经授权的核验要求”,甚至更直接的——切断你的执行权。
19:27,周砚正在核验运营群发跟进的发送记录,手机又震了一下。
陌生号码短信再次出现,依旧只有一句,却比上次更冷:
“你拿到的东西越多,越容易变成你违规拿的。别忘了,安全日志是敏感数据。”
周砚盯着短信,眼神不动。
对方开始转移战场:从威胁“别查”,变成威胁“你查就是违规”。他们想把他逼到一个两难:你不查,真相永远缺口;你查,就给你扣“违规获取敏感数据”的帽子。
周砚没有回复。他照旧拍照留存,命名归档。然后他打开合规清单,在“302追溯”条目下新增一行备注:疑似恐吓与合规威胁,已固定证据,待必要时移交。
20:11,王珊发来消息:“今晚的跟进话术你们发了吗?领导说不要夸张宣传,合规最重要。”
周砚回:“已按核验版话术执行,区间+来源+证据路径,且隐私告知保留。发送记录已留痕,明早可提供抽查样本。”
王珊回:“好。”
20:58,运营同事发来一张截图:某位到访用户回复“明天可以二次来看,我想带家人一起”。旁边还有一句:“你们挺实在,不像别的盘忽悠。”
周砚把这张截图归档,贴到D4动作清单的“二次预约推进”项下,打了一个勾。
每一个真实的二次预约,都是他在内部斗争里最硬的筹码——对手可以玩文件、玩流程、玩缺口,但他们很难玩出一个真实用户愿意再来一次的决定。
22:36,周砚准备关机前,项目邮箱里出现一封新邮件,发件人:HR主管。
标题比夜色还薄,却像冰刀贴着皮肤划过:
《试用期延长评估补充条款(开放日后续阶段)》
正文写得很“合理”:由于项目进入关键成交阶段,公司将进一步强化对外口径与信息安全管理。附件为补充条款,请于明日中午前签署,以确保后续执行顺畅。
周砚点开附件,第一眼就看到两条熟悉的陷阱:
- “所有对外沟通需经项目负责人审批后发送”
- “未经授权不得接触任何安全日志、门禁记录等敏感信息”
对方在用“制度化”方式,把今晚他在安全室核验的动作,转化成“未经授权接触敏感信息”的风险;同时把对外沟通权收回阿远手里,为下一轮口径漂移打开门。
周砚没有立刻回复。他把附件打印出来,用红笔在两条关键条款旁边写下补充限定语:
1)“对外沟通审批”补充:仅限营销话术与对外声明类内容;对甲方项目进度汇报、数据闭环日报、证据路径说明属于项目交付内容,按既定抄送机制执行,不需额外审批,以避免交付断档;
2)“敏感信息接触”补充:本人接触门禁/日志等材料仅限信息安全部安排的现场核验流程,且不外带原始文件,仅留存核验纪要与必要字段,不构成违规获取;所有核验均需形成书面纪要并抄送梁总与法务。
他把修订版扫描成PDF,写了一封极短的回复邮件:
“本人同意签署补充条款。为确保条款可执行且不影响项目交付连续性,已对两处关键条款补充限定语(详见修订版)。请法务审核确认后生成最终签署版本。另:任何条款不得以‘审批’为由中断对甲方的日报与数据闭环同步,避免产生项目事故风险。”
发送成功,截图归档,更新合规清单。
23:18,办公室安静得只剩下空调出风口的低鸣。
周砚把文件袋重新封好,签上日期。今天他拿到的不是“凶手姓名”,而是“终端指纹的第一枚碎片”:18:48的唤醒、不同子网的来源、4648的凭据调用。这些碎片单独看或许还不能定人,但它们足以打穿“无法确认”的盾牌,把追溯从泥潭拖回审计轨道。
对手开始急了,急到用“敏感数据”来恐吓,急到用补充条款来收权。
他们越急,越说明终端指纹已经贴近了那个人的手。
周砚关掉台灯,走出办公区。
走廊里应急灯拉出一条细长的光线,像一条冷硬的轨迹,指向更深的黑暗。周砚知道,明天他要做的事情会更危险——不是去猜谁干的,而是用“唤醒来源”的补证、门禁刷卡与设备活动的交叉、以及那条不同子网来源的追溯,把终端指纹从“可能”推到“高度一致”。
一旦一致,对手就再也不能躲在缺口里。
到那时,他们只有两个选择:认,或者毁。
周砚不会给他们毁掉证据链的机会。
第23章 终端指纹
『加入书签,方便阅读』
第23章 终端指纹 我把废案写成爆款
