『如果章节错误,点此举报』第(1/3)页
06:49,周砚比闹钟早醒了十分钟。
他没有像往常一样先摸手机,而是坐在床沿,盯着窗外还没完全褪去的夜色,脑子里把“门禁缺口”的交叉链条重新跑了一遍——门禁刷卡、会议室临时使用、监控缺失、会话日志、账号保护触发、匿名短信与IM威胁、以及今天开放日后必然出现的“合规核查扩大化”。
对手的节奏越来越清晰:他们不追求一次性把他打死,而是用一连串看似合理的小动作,把他从“交付链路的核心”一点点挤到边缘。只要他在链路里失去“最后一米”的控制权,结果就可以被重新叙述;只要他被迫停下来解释,项目节奏就会断;只要项目节奏断一次,“试用期复核”就能被重新启动。
所以他必须同时做两件事:让D4的执行继续产出可见结果;让302的追溯从“无法确认”变成“必须确认”。
他起身洗漱,换衣服时把那本离线硬壳笔记本塞进包里,又把昨晚整理的《开放日现场风险事件记录(中午版)》和《开放日闭环日报(D3)》的打印件放进文件袋最上层,透明封条没拆。
封条不是装样子,是一种宣告:我不靠口头解释,我靠可审计的记录。
07:41,周砚到公司。
电梯门一开,办公区的灯比平时亮,显然有人更早到。走廊尽头的玻璃会议室里,有两个人影在对着电脑屏幕低声说话,屏幕反射出的光像一条细细的白线,切开了清晨的雾气。
他还没坐下,项目群里就跳出两条消息。
运营同事:“D4跟进计划:上午10点前完成二次触达,预计回访30人,目标新增确定预约≥6。”
媒介主管:“法务那边说有外部投诉线索,可能要我们暂停社群资料发放,等声明。”
同一时间,两条线的拉扯就来了——一条要继续跑结果,一条要用“合规核查”把动作按停。
周砚没有在群里回任何一句。他先打开共享盘,把D4的动作清单拉出来,逐项看责任人与时间节点,然后单独给运营负责人发了一条指令,短到像战术口令:
“执行不断:1)二次触达按脱敏名单走CRM,通话录音与备注必须完整;2)资料发放继续分批私信,只发‘资料清单与证据路径’+‘隐私告知链接’,不发任何疑似内部截图;3)每小时汇总新增确定预约,15:00前给我一次中间复盘。”
发完,他把手机放到一边,打开邮件。
一封来自信息安全部的邮件躺在未读里,主题带着一种刻意的“程序感”:《302公用电脑本地事件日志(封存提取版)》。
附件是一个压缩包,里面有两个文件:System.evtx、Security.evtx,还有一份提取说明,写着“日志由信息安全部在封存状态下提取,未做内容编辑,仅做脱敏处理”。
周砚的指尖停了半秒。
他们终于把他要的关键东西拿出来了——这意味着他昨天那封《302追溯缺口清单》确实起了作用,也意味着对方意识到“拖”会引发更大的项目事故风险,只能先交出一部分证据。但交出并不代表配合,交出也可能是“选择性投喂”:给你足够多的信息让你分心,却不给你能落锤的那一根钉子。
他没有急着打开evtx文件,而是先把压缩包下载到本地,按规范命名:202X-XX-XX_302追溯_本地事件日志_信息安全部提取版.zip,然后拖进共享盘“合规记录/302追溯/原始证据”目录,留言区写清楚“原始提取件,未解压版本,保留校验值”。
做完留痕,周砚才解压文件,用事件查看器打开。
第一眼,他就找到了他最想要的东西:时间戳。
System日志里有一条“Power-Troubleshooter”事件:18:48:12,系统从睡眠唤醒。
紧接着是“Kernel-PnP”事件:18:49:03,检测到新的USB输入设备连接,设备描述为“HID Keyboard Device”。
这条记录像一道冷光掠过周砚的眼底。
HID键盘设备——意味着在那一分钟,302公用电脑被插入了一个“键盘类设备”。它可以是真实键盘,也可以是伪装成键盘的注入器。关键在于:公用电脑本来就有键盘,为什么还会额外插入一个HID设备?除非有人用它去自动输入。
他继续往下翻。
18:50:27,有一条“TaskScheduler”事件:创建了一个计划任务,任务名是一串看似随机的字符“OfficeUpdateCheck_3A9F”。
18:50:29,任务被设置为“在用户登录时触发”。
19:01:10,任务触发执行。
紧接着,Security日志里出现三条连续的4625事件:登录失败,账户名为周砚的账号,失败原因“密码错误”,来源类型显示为“交互式”。
三次失败,时间间隔几乎一致,像机械敲击。
这不是一个人临时手抖输错密码的节奏,这是脚本的节奏。
周砚的背脊没有发凉,反而一种更冷的清醒在胸口沉下去——对方用的不是“有人坐在电脑前输密码”,而是“提前布置计划任务,在固定时间自动触发失败登录”。这就解释了为什么监控缺失那十二分钟如此关键:那十二分钟里发生的不是“失败登录”,而是“布置触发器”。
失败登录只是结果,触发器才是凶器。
视野边缘,蓝色面板亮起,像把推理的最后一块拼图递到他手里:
【关键突破:18:49插入HID设备→18:50创建计划任务→19:01自动触发失败登录→账号保护模式被触发】
【结论导向:攻击不依赖操作人当时在场,操作人只需在监控缺失时段布置触发器即可】
周砚没有立刻把“攻击”这两个字写进任何文档。他知道,在公司语境里,“攻击”是定性词,会引发部门之间的防御本能。他要用更合规、更难反驳的表达:异常操作链路、非授权自动化输入、计划任务创建记录。
他打开一个新的文档,标题写得像审计底稿:《302公用电脑异常操作链路梳理(基于本地事件日志)》。里面只列事实,不写推断:
- 18:48:12 系统从睡眠唤醒(System日志事件ID…)
- 18:49:03 新增USB HID键盘设备连接(System日志事件ID…)
- 18:50:27 创建计划任务OfficeUpdateCheck_3A9F(System日志事件ID…)
- 19:01:10 计划任务触发执行(System日志事件ID…)
- 19:01:12/19:01:38/19:02:05 连续三次账号登录失败(Security日志4625…)
每一条后面,他都写了“证据来源:日志文件名+事件ID+截图编号”,把证据路径钉死。
08:36,门禁明细、监控缺失说明、本地事件日志三条线终于可以叠加了。
门禁显示:18:46王XX进入,18:49离开;监控缺失从18:47开始;日志显示18:49插入HID设备、18:50创建计划任务。
时间线几乎无缝衔接。
这是交叉证据的力量:你可以说监控缺失是故障,你可以说门禁进出只是路过,你也可以说登录失败无法锁定责任人,但你解释不了——为什么监控缺失开始的那一分钟里,公用电脑被唤醒并插入了一个额外的键盘类设备;你解释不了——为什么刚好在王XX离开一分钟后,计划任务被创建。
周砚把这条时间线打印出来,红笔圈住“18:49”和“18:50”两个点,在旁边写了四个字:必须落锤。
可落锤需要“人”的对应关系。日志告诉你发生了什么,门禁告诉你谁进出,下一步就是把“动作”落到“人”。
他要的不是“怀疑王XX”,他要的是“证明王XX是否是唯一可能实施该动作的人”,或者“证明王XX的卡被他人使用”,从而逼出真正的操作者。
09:02,周砚起身去茶水间倒水。
路过行政区时,他看见行政部的孙XX正站在打印机旁整理纸张,动作熟练。孙XX就是门禁明细里19:02和19:08两次刷卡进入的人。周砚没有停,也没有盯着看,只把这个画面记在脑子里:孙XX今天来得也很早。
回到工位,他给物业安保主管发了一封邮件——物业邮箱在公司通讯录里,平时只用于访客管理与消防演练。但现在,他需要物业系统的一个细节:门禁刷卡是否有联动抓拍。
邮件主题写得很克制:《门禁刷卡联动抓拍留存状态咨询(302会议室门禁)》。
正文只问两句:
“1)302会议室门禁刷卡是否联动抓拍照片或短视频(含抓拍设备型号与留存周期);
2)若有抓拍留存,能否按公司内部调查流程提供涉事时段(18:40—19:10)刷卡抓拍记录,供核验。”
他没有说“谁干的”,没有说“攻击”,只说“核验”。同时抄送梁总和信息安全部负责人。
这是他惯用的手法:把请求从“个人追查”升格为“公司调查”,让任何阻挠都显得不合规。
09:28,物业回复很快,字里行间明显谨慎:“门禁系统具备联动抓拍功能,但抓拍设备位于门侧上方,清晰度受角度影响。资料提供需走公司安全部正式函件流程。”
周砚没有嫌麻烦。他把邮件转发给信息安全部负责人,附言只有一句:“请以安全部名义向物业出具正式函件调取门禁抓拍,涉事时段18:40—19:10。”
他知道对方可能会拖,但他也知道:梁总在开放日后强调“核查不得扩大解释”,同时又要求“原始线索与范围明确”。现
(本章未完,请翻页)
第50章 交叉证据 我把废案写成爆款
