第二十章.山神的定时握手 (3/6)

>

    “这些文件的创建时间是前十分钟，日志里面没有。。。”边上的几个人也感觉奇怪。

    “握手失败前十分钟，好的，你去查一下在系统目录里有一个隐藏目录，Agent被阻塞后，应该把一些重要信息记录在那个目录里。”欧阳继续有条不紊地指导。

    “好的，我现在做。”林久浩。

    “。。。。。。”欧阳。

    “看到了，今天上午的时间标签，应该是Agent被阻塞后，把信息写成文件保留在服务器里。”林久浩。

    “先查看一下，Agent会重点盯着日志文件，日志是不是被修改了？”欧阳。

    “Agent文件记录，日志文件被修改了三次，分别是Agent刚被阻塞的时间后四分钟后，然后是前一次后五分钟，然后是前一次后的三分钟，具体修改了什么，不知道。”林久浩。

    “很好，很好，太好了，但愿，他们没有用系统认可的注册用户修改日志文件。”欧阳那边松了一口气。

    “欧阳工，怎么太好了？”林久浩不明白。

    “Agent有一个小的功能，是我们加进去的功能，当时专门针对【观景窗服务器系统】，如果不是系统用户修改日志文件，Agent会备份日志文件到一个隐蔽的目录。”欧阳。

    “也就是说，第一次修改发生在三分钟，我们得到了一个三分钟时的日志。”林久浩。

    “对，而且在那个隐蔽目录里面会有三个日志备份文件，分别打了三个时间标签，对应三次修改，去查看一下。”欧阳。

    “好的，我现在去看。”林久浩说完，打开了目录，里面果然有三个文件。

    “好，我们继续。”欧阳。

    “打开第一个日志文件了。”林久浩。

    “检查到了什么？”欧阳。

    “第一个文件后面显示，从一个内部接口通过地址转换后的IP传入三个文件，看文件名应该是运行文件，packetZIP.EXE，COPYitOUT.EXE，COPYitIN.EXE。”林久浩叙述着。

    “查这个地址转换后的IP地址对应的外部IP地址。”欧阳继续指导。

    “好的，警方去查了。”林久浩。

    “你继续看第二个文件。”欧阳继续。

    “第二个文件里面，运行了COPYitIN.EXE，然后现在应该有两个程序在运行状态，COPYitIN.EXE、INTERMEDIATOR-link。”林久浩继续叙述。

    “继续。”欧阳。

    “COPYitIN.EXE删除盘上存储的COPYitIN.EXE源文件，从一个172.16.3.100的地址上传输了一个目录的文件，大约5GB，然后启动了packetZIP.EXE，并杀掉COPYitIN.EXE进程，同时删除盘上存储的packetZIP.EXE源文件。”林久浩。

    “172.16.3.100地址，这是内部网的地址呀。”周围机器人研究所的安全工程师议论着。。。

    “让研究所的人查一下这个172.16.3.100地址及被复制的文件是什么？你继续看第三个日志文件。”欧阳继

本章未完，请点击下一页继续阅读