『如果章节错误,点此举报』第(1/3)页
凌晨两点四十,战情室里只剩下键盘声和打印机偶尔吐纸的摩擦声。离线投票包的阶段性任务已经完成,但谁都没把心放回去。因为在这条链路里,投票只是“守住底线”,真正的战场在另一端——**授权截图**背后的编号BSO-017。
编号这种东西,本来是秩序的外衣。它让每个动作有出处、有时间、有责任人。可一旦暗门学会借用编号,编号就会反过来变成暗门的盔甲:你质疑它,它就拿“流程”堵你;你追流程,它就把流程做成迷宫,让你在纸面里兜圈。
周砚站在白板前,看着那串红字:BSO-017。字很短,像一个钉子。钉子钉进墙里,墙后面的东西才会被拉出来。
“先别急着抓人。”陆律低声说。她的眼里有一种职业性的冷,“我们要先抓住这个编号在系统里的‘出生证明’:是谁在什么系统生成的、生成时的字段是什么、关联附件是什么、审批链是谁。只要出生证明在,就能把后来所有‘授权截图’和‘口头指令’都拉回程序里。”
顾明点头,手指在键盘上快速敲击:“我已经在流程系统、文档协作、邮件、打印机日志四条线同步查。BSO开头不像纪检编号,更像董事会办公室内部流程号。我怀疑是他们自建的‘办公室流程’模块,不在集团统一OA。”
“自建流程?”梁总眉头紧皱,“那就是他们的私域。私域里最容易做假。”
周砚没有否定,他只问:“私域也要落地。落地就要服务器、权限、备份、管理员。我们抓管理员。”
罗主任坐在桌边,翻着纪检系统里的授权清单,声音沉得像铁:“崔宁失联,群解散,短链换皮,说明对方已经意识到我们要沿编号上溯。他们会提前做两件事:第一,删掉BSO-017相关的流程记录;第二,准备一套替代说辞,把BSO-017解释成‘正常支持’或‘误操作’。”
陆律接话:“删记录是最常见,但删记录比你想象得难。删的痕迹本身也是证据。尤其在有备份、有日志、有审计的系统里,删一次就会留下很多‘删的痕迹’。他们能删的通常是前台展示,删不掉后台日志。”
顾明把一条数据投到屏幕上:“我找到一点东西。董事会办公室有一台本地流程服务器,域名叫bso-flow.local,平时只有董事会办公室网段能访问。它的管理员账号有两个:bso.admin和bso.root。昨晚doc.admin被冻结之后,bso.admin在凌晨一点零七分登录过,做了一个‘批量归档’动作。”
“批量归档。”周砚轻声重复。
批量归档是最体面的删改方式:不叫删除,叫归档;不叫隐藏,叫合规整理。可归档对暗门而言就是把证据塞进看不见的抽屉。
“能拿到归档前后的差异吗?”陆律问。
顾明摇头:“前台差异看不到了,但后台日志有:归档对象范围包含BSO-017所在的那个流程类型。更关键的是,归档动作的操作人虽然显示bso.admin,但登录会话来源IP不是董事会办公室的固定终端,而是一个临时Wi-Fi网段。像是有人在外面通过VPN接入。”
罗主任抬头:“谁还能通过VPN接入董事会办公室网段?我们不是隔离了吗?”
顾明把网络拓扑放大:“隔离的是文档协作与高敏系统,但bso-flow.local在‘内部管理白名单’里,被当成董事会办公室的‘内务系统’,没被纳入隔离策略。对方就是从这个缝钻进来的。”
梁总猛地一拍桌:“缝就是暗门。”
周砚没动情绪,他把缝写在白板上:**bso-flow.local未隔离**。然后转向罗主任:“现在补。立刻隔离bso-flow.local,封存服务器镜像,冻结bso.admin和bso.root。把这台服务器按终端封存标准处理。”
罗主任点头:“按程序走。警方技术出具处置建议,纪检下令封存。”
十分钟后,封存指令下达。安保与警方技术人员直奔A座董事会办公室内务机房。战情室里的人都清楚,这是一次“抢证据”的竞速:对方刚归档,下一步可能是清理日志、替换备份、甚至直接断电毁盘。每一分钟都决定证据能否完整。
顾明在远程监控里盯着服务器状态,屏幕上跳动着心跳般的曲线。突然,曲线抖了一下。
“有人尝试远程关机。”顾明声音一紧,“命令发出者:bso.root。”
“还没封住?”罗主任立刻问。
顾明飞快敲键:“我正在强制切断会话……切断了。但对方可能还有二级通道。”
陆律冷静提醒:“这就是为什么必须物理封存。线上切断只是暂时。物理封存才是终局。”
周砚盯着屏幕,没有说话。他脑子里浮现的是另一幅画面:昨夜外包点门口那个戴帽子的人、那块缺口表、那句“上面很关注”。现在,bso.root在远程关机,说明对方确实在看着他们的一举一动。对抗已经从“整理材料”升级到“破坏证据”。
半小时后,安保回报:已进入内务机房,服务器未断电,正在按警方技术指引做镜像封存。封存过程全程录像。硬盘镜像生成后,将带回总部取证室分析。
梁总长出一口气:“抢到了。”
周砚却没有松,他知道真正的价值不在“抢到机器”,而在机器里是否还留着BSO-017的“出生证明”。如果对方归档只是前台操作,后台日志仍在,出生证明还活着;若对方提前做过清理,机器只是壳。
“做两套分析。”周砚说,“一套找BSO-017的记录与附件;另一套找归档与清理的痕迹:日志删改、备份轮转、权限提升。就算BSO-017没了,也要证明它‘被弄没了’。”
顾明点头:“明白。”
---
清晨五点,第一份镜像分析结果出来。
顾明把关键字段投到屏幕上,眼里带着熬夜后的血丝,但语气异常稳:“BSO-017存在。没有被删掉。只是被归档标记为‘不可见’,但后台记录还在。”
会议室里一阵很轻的吸气声。那不是庆祝,而是一种被压住的确认:钉子钉住了。
“BSO-017的标题字段是——‘议题材料支持与对外同步审批’。”顾明继续,“发起人账号:崔宁。发起时间:上周四晚上九点三十二分。附件一:授权截图原图。附件二:外包点运维工单。附件三:短链生成需求说明。”
梁总的脸色瞬间难看:“崔宁发起?那他不是失联,是被推到台前当发起人。”
陆律立刻抓重点:“审批链?”
顾明把审批链拉出来:“审批一:许元,系统管理员,备注‘议题支持’。审批二:周秘书长办公室的一个角色账号——sz.office,备注‘按秘书长要求’。审批三:董事会办公室主任助理角色账号——bso.assist,备注‘对外同步窗口’。最终批准人:一个编号为‘BSO-OWNER’的虚拟角色,没有实名映射。”
“虚拟角色。”周砚心里一沉。
虚拟角色是典型的影子机制工具:它不等同于共享账号池,但效果相同——把责任从人转到角色,从角色转到“制度安排”。你要追人,就被挡在角色后面;你要追角色,就被告知“业务需要”。业务需要四个字,足以让责任失焦。
“BSO-OWNER是谁能使用?”罗主任问。
顾明把访问日志拉到另一屏:“BSO-OWNER的最近十次登录会话,来自两个设备指纹:第一台是董事会办公室终端会议室那台封存终端,第二台是……一台笔记本,登记使用人:周秘书长。”
空气在这一刻像被压扁。梁总下意识想说什么,被陆律抬手压住。她的意思很明确:先让数据说完,别让情绪抢跑。
顾明继续补刀:“而且,BSO-OWNER在昨夜归档动作前十五分钟登录过一次,查看了BSO-017附件,随后bso.admin执行批量归档。时间线非常紧密。”
这意味着归档不是随机整理,是“看了以后再藏”。看了什么?授权截图、短链需求、外包工单。换句话说,对方知道这份流程一旦被拉出来,就会把整条喂料口链打通,于是试图藏。但藏不彻底。
“授权截图原图长什么样?”周砚问。
顾明把图片放大。那是一张看起来“极像官方”的截图:上方有“秘书处授权”字样,底部有签名栏和一个红章影像,章不清晰,但足够让执行层相信“有授权”。最关键的是,截图上有一行小字:**“依据BSO-017执行。”**
“这就是他们的护身符。”陆律的声音冷,“用截图压执行层,用编号压质疑者。执行的人一旦被问责,就会说‘我有授权截图’。”
周砚盯着那张截图,忽然注意到一个细节:“红章影像的位置不对。按我们公司公章的标准样式,章心距边缘不可能这么近。还有,签名栏的字体是系统默认宋体,不像秘书处常用模板。”
“你是说截图伪造?”梁总问。
“不是‘说’,是‘疑点’。”陆律立刻纠正,“疑点要通过模板库、用章台账、签名真伪鉴定去核验。我们不下结论,但可以把疑点变成取证方向。”
顾明已经在查模板库:“我比对了秘书处授权模板,确实不一致。截图里有一个隐藏字段ID,属于bso-flow.local的页面元素,而不是秘书处OA页面。也就是说,这张截图不是从秘书处OA截的,而是从bso-flow.local生成的。它更像‘内务系统自制授权页’。”
梁总气得发笑:“他们自己做了个授权页,再截图给下面看。这就是造一个权威。”
“这就是影子主控。”周砚说,“它不需要真正的授权,它只需要让执行层相信有授权。相信比授权更有效。”
罗主任的拳头慢慢攥紧,又松开。他不是要压情绪,是要把情绪收进程序里:“把BSO-017及附件、审批链、访问日志全部封存,生成证据包。并立即对周秘书长的笔记本做取证封存。”
陆律提醒:“封存秘书长设备属于敏感动作,必须有更高层授权,且要避免被说成‘政治清算’。但我们现在有足够理由:BSO-OWNER设备指纹映射到他的笔记本,且存在证据藏匿行为。程序上可以触发紧急封存。”
罗主任点头:“我去找董事长签授权。警方技术出具建议。”
顾明补充:“还有崔宁。他发起BSO-017后失联,说明他极可能持有更多附件或原始沟通记录。我们必须尽快定位他。”
“定位按程序。”陆律说,“不要口头下达。发出协查函,调用门禁、停车场、基站、酒店入住信息。必要时警方协助。”
周砚没有说“抓”,只说“找”。他知道语言本身就是边界:你越像猎人,对方越像受害者;你越像程序,对方越像嫌疑人。
---
上午九点,董事长签署了紧急封存授权。
周秘书长被通知到场配合。通知措辞很克制:基于重大安全事件证据保全需要,对特定设备进行临时封存取证。全程警方技术旁听,纪检记录。
周砚没有去现场,他留在战情室盯“反扑”。因为他清楚:这种动作一旦发生,对
(本章未完,请翻页)
第87章 编号BSO017的影子 我把废案写成爆款
