“172.16.3.100地址，這是內部網的地址呀。”周圍機器人研究所的安全工程師議論著。。。

“讓研究所的人查一下這個172.16.3.100地址及被複製的文件是什麼？你繼續看第三個日誌文件。”歐陽繼續說道。

“第三個日誌裡麵記錄，用packetZIP.EXE對這些文件做了處理，根據剛才的情況，這個好像是壓縮加密分割文件用的，運行後創建剛才外傳的那組文件，同時刪除用於加密的源文件，並修改了日誌記錄。”林久浩。

“你繼續告訴我日誌裡麵的情況。”歐陽。

“處理以後，啟動了COPYitOUT.EXE這個應用，殺掉了packetZIP.EXE進程，同時把剛才的文件傳出到一個外部IP地址，這個外部IP地址是上海地區的服務雲，是。。。普洱茶愛好者服務器。”林久浩的手速很快，邊說就邊查到普洱茶愛好者服務器。

“後麵呢？”歐陽繼續詢問。

“很奇怪，COPYitOUT.EXE沒有運行完成，很奇怪，最後一個傳輸出去的文件，時間是14分59秒，他們居然把時間計算錯了，所以，最後3%部分的文件傳不出去，卡住了。”林久浩疑惑了。

“很奇怪，確實很奇怪，十五分鐘，這個時間段山神不會發現的。。。黑客的所有行為，證明他的思維非常縝密，不應該犯這樣的錯誤呀。”歐陽好像在思考著什麼，繼續：“好吧，我們繼續”。

“後麵沒有了，這是第三個日誌最後的情況，再後麵就是山神啟動了安全防範機製，反向入侵了這台服務器，並在網絡層麵阻斷。”林久浩說道。

“我明白了，大致過程應該是這樣的，小林，你可以記錄一下，過一會兒告訴警方的人。”歐陽。

“好的，你說。”林久浩。

“首先，黑客通過那個IP地址轉換對應的外部地址，進入了機器人研究所的辦公網絡係統，你們查一下，是從哪一個外部接口進來的。”歐陽。

“知道了，警方一直在查。”林久浩

“然後，黑客先攻擊了【觀景窗服務器係統】，手法是高級彆的隱蔽安全後門，所以他們的所有操作都不會留下用戶名稱，包括修改日誌文件。”歐陽。

“我們國家對操作係統做代碼審查的，沒有發現嗎？”林久浩問道。

“很難，你怎麼知道他們賣給你的就是你審查的，植入等量代碼，無法從代碼量對比發現，後期也可以通過隱蔽隧道傳輸，安裝替換代碼植入隱蔽後門，方法很多。”歐陽。

“這種都很難發現嗎？”林久浩。

“很難，但是，不是沒有辦法，還有更難的，我們並不是對所有的軟件做代碼審查，例如【ET重心力臂動平衡測量軟件】，必須安裝【觀景窗服務器係統】上。”歐陽繼續解釋。

“通過【ET重心力臂動平衡測量軟件】修改【觀景窗服務器係統】嗎？”林久浩。

“不知道，【ET重心力臂動平衡測量軟件】需要獲得【觀景窗服務器係統】最高權限，這個不是我們今天討論的問題，我們繼續說正事。”歐陽不想歪樓。

“繼續。”林久浩。

“然後他們發現了安全Agent，由於害怕Agent影響他們的操作，所以定製了一個中間人程序，中轉Agent與山神的信息通訊。”歐陽。

“這可能就是Agent丟了五秒鐘參數的原因。”林久浩。

“插入中間人程序大概率會導致安全Agent延時發送信息，這一點我們在後期山神係統告警中需要增加進去。”歐陽。

“不過，他們加入了中間人程序以後，為什麼沒有第一時間，殺掉Agent，是不是知道我們有秘鑰握手機製？”林久浩問道。

“小林，我教導過劉胖，做事要有耐心，先觀察一下，這個黑客同樣具備耐心，我低估他了，我設定的十五分鐘握手，就是給沒有耐心的黑客準備的。”歐陽。

“也就是黑客發現了這個機製？對嗎？”林久浩問道。

“是的，他發現了這個機製，所以製定了整體計劃在十五分鐘內完成，黑客事先知道了172.16.3.100的文件位置，所以寫好了程序。”歐陽。

“已經查清楚了，172.16.3.100這個地址在內部數據網計算雲上的服務器，與辦公網之間有物理隔離措施。”林久浩說道。

“肯定辦公網與內部網絡被聯通了，否則無法拷貝文件，這一點讓研究所的人配合警方去查，我們繼續。”歐陽。

“繼續。”林久浩。

“攻擊開始，他們用中間人阻塞了Agent與山神的通訊，並接替Agent向山神發送【平安無事】，接替時間恰好在秘鑰握手的一個完整周期的開始點。”歐陽。

“如果不阻塞Agent，他們是不是就可以成功完成入侵，並不被發現？”林久浩。

“如果不阻塞Agent，對於他們來說更危險，因為他們無法獲得Agent的所有監控參數，一旦開始在服務器上運行文件，並大數據量拷貝複製切割文件，一旦觸發Agent，就會導致任務不確定性，事實上我們的Agent監控的參數比【平安無事】要多。。。這是高手，他決定阻塞Agent是很明智的，但是。。。時間怎麼回事。”歐陽解釋了阻塞的原因。

“時間，就是他算錯了時間，導致沒有100%完成。”林久浩。

“不應該呀，這個黑客思維縝密，從他製定的程序就可以看出來，所以，他對時間的估算隻能提前，不可能超過十五分鐘，但是，現在確實發生了超時現象，我們現在還不知道為什麼。。。”歐陽邊說邊思考。

“是不是？哦對了，查過來，那個時間點，這台服務器上沒有大的應用，而且網絡層麵也沒有出現故障延遲，所以，隻能認為，黑客把時間估算錯了。”林久浩。

“不應該呀。。。好吧，我們繼續吧。”歐陽。

“好的，然後拷貝三個運行文件進來，地址查明了，泰蘭國的IP，不過，VPN用戶是我們上海的一位員工，他在泰蘭國旅遊。”林久浩把剛查出來的信息也通報了。

“我們上海分所的員工，使用VPN用戶登錄的，他的上網行為有異常嗎？”歐陽繼續詢問。

“隻是做了他平時的工作，工作時間也符合平常習慣，不過，查到一個現象，VPN登錄的時候，激活了一次告警，不過，很快就恢複了。”林久浩。

“要趕快通知警方，這個工程師有危險了。。。我們繼續。”歐陽。

“知道了，警方已經去查詢這個工程師現在的情況，我們繼續。”林久浩。

“他們啟動了COPYitIN.EXE，從172.16.3.100的目錄位置拷貝了文件，啟動packetZIP.EXE文件，殺掉COPYitIN.EXE，由packetZIP.EXE在服務器上打包加密、拆包分割成多個小文件。”歐陽。

“他們太肆無忌憚了，這麼猖狂。”林久浩。

“是的，他們擁有隱蔽用戶和最高的權限，所以這麼做是最好的方法，啟動COPYitOUT.EXE，然後殺掉packetZIP.EXE，並把分割好的文件，上傳到普洱茶愛好者服務器上。”歐陽。

“結果是，後麵3%沒有完成，奇怪？”林久浩。

“對的，這個黑客把時間算的太精準了，也許中間什麼地方出現了問題，導致時間延遲了，所以沒有按照他的計劃完成。”歐陽。

“如果完成是什麼情況？”林久浩問道。

“如果完成的話，會刪除所有被分割後的小文件，然後殺死中間人程序，同時修改日誌，然後COPYitOUT.EXE自殺。”歐陽回答。

“所有痕跡都銷毀，幸好，現在沒有完成，COPYitOUT.EXE還在一直查找去【普洱茶愛好者服務器】的路由，這是因為山神阻斷了所有發出的數據包，導致網絡連接中斷了。”林久浩。

“是的，所以COPYitOUT.EXE也沒有繼續下一步，刪除這些被分割後的文件，這很好。。非常好。”歐陽。

“怎麼了，歐陽工，又是什麼好事情？”林久浩。

“是好事情，查找172.16.3.100服務器上被拷貝的文件，然後與這些文件做比對，我們更容易破譯他們這次用的加密程算法，這個加密算法對我們有用。”歐陽。

“歐陽工，這一次黑客攻擊，雖然，大概有3%的信息沒有被傳出去，遺憾的是，他們拿走了97%的數據文件。”林久浩。

“最後一個文件，居然不知道什麼原因卡住了，沒有傳出去？”歐陽很疑惑，還在思考著這個問題。

“影響很大嗎？他們拿走了很多，是不是不差這個文件？”林久浩。

“好了，就到這裡吧，他們什麼也拿不走。”歐陽肯定的說道。

“什麼也拿不走？”林久浩。

“對，另外，小林，請你下午再去一下公安局那邊，看一下昨天的交通事故情況，我們還是這樣連線分析。”歐陽。

“公安局那邊，他們允許我看事故現場嗎？”林久浩看了一眼，一直在邊上的李子軍，李子軍聳了聳肩，表示不知道。

“放心吧，我已經聯係好了，直接找譚處，他會安排人幫你查看所有事故的相關信息。”歐陽很肯定。

“好的，知道了，找譚處。”林久浩聽著對方掛了電話。

“哥，譚處是我師父，我們信息科技處的處長。”李子軍聽提到譚處，趕快做了解釋。

“子軍，下午去你們那裡。”林久浩。。

下一章節==《第二十一章.車禍視頻排查》