聯合專案組迅速成立,臨時指揮中心設在了刑偵支隊的技術辦公室。經偵支隊派來了兩名熟悉商業犯罪調查和審計的同事配合。
陳凱立刻進入了狀態,帶領技術團隊,在兩家企業安全人員的配合下,開始海量電子證據的采集和分析工作。
數據量極其龐大,涵蓋了服務器日誌、網絡設備流量記錄、終端操作記錄、郵件往來、甚至大樓的門禁刷卡記錄等等,時間跨度集中在案發前後數周。
這簡直是在數據的海洋裡撈針。
陳凱直接申請了係統的最高算力支持,啟動了“大數據分析”和“電子證據深度恢複”模塊。無數條數據流被導入係統,按照預設的入侵特征、異常行為模式進行高速篩選和關聯分析。
“訪問源ip是偽造的,經過了多次跳轉…嗯,用了國外的代理服務器…”
“操作時間模擬了正常管理員的習慣,但細看還是有細微差彆,比如命令執行的間隔過於均勻,不像人為操作…”
“在‘微瞳’的一台邊緣服務器係統緩存裡,發現了一個極其隱蔽的進程殘留,疑似用於嗅探和中轉憑證的惡意腳本,但已經被清理了…”
陳凱雙眼緊盯著多個屏幕,嘴裡飛快地報出一個個發現,又一個個被證實難以追蹤到底。
對手的反偵察能力超強,清理痕跡的手段非常專業。
時間一分一秒過去,進展緩慢。兩家企業不斷來電詢問進展,無形的壓力越來越大。
陸野也沒有閒著,他帶領周婷和李偉,開始對兩家公司內部,有可能接觸到核心機密,特彆是知曉管理權限的人員進行摸排。名單很長,從cto、核心架構師到係統管理員、網絡安全員,甚至包括一些即將離職或有財務問題的人員。
工作量巨大,且稍有不慎就會打草驚蛇。
就在案情似乎陷入僵局時,陳凱那邊突然傳來一個聲音:“等等!有發現!”
所有人的目光都集中過去。
“我在對比兩家公司被入侵時的網絡流量基線時發現,”陳凱指著兩條幾乎重疊的時間軸曲線,“雖然入侵者的ip、手段都做了偽裝,但他們發動攻擊的‘心跳節奏’…或者說數據包發送的間隔模式和峰值特征,存在高度相似性!極有可能出自同一批人,甚至同一個工具!”
這是行為層麵的特征,很難偽裝和改變!
“能溯源嗎?”陸野立刻問。
“很難,但這是一個重要的關聯點!”陳凱興奮地說,“而且,基於這個行為模式,我重新調整了篩選算法…等等…係統提示,在‘深思數據’一台已被格式化的備份服務器硬盤底層,發現了一段極微弱的、未被徹底擦除的異常網絡連接記錄!指向一個…本市的ip地址!”
雖然隻是一個模糊的ip段,但這無疑是案件發生以來,第一個指向性的線索!
對手再狡猾,終究還是在數據的海洋裡,留下了一枚幾乎不可見的指紋。
喜歡刑偵天梯請大家收藏:()刑偵天梯書更新速度全網最快。