第373集：计划中的意外（2/2）

“我们查了日志，”主管说，“这个补丁是你部门提交路径下的，虽然操作时间不在你工作时段，但管理责任逃不掉。建议暂时冻结你的系统权限。”

老夫子站起身，把电脑转向他们：“先看这个。”

屏幕上是完整的操作回溯动画。从补丁上传、审批通过到执行注入，每一步都有时间戳和ip标记。最后定格在那个熟悉的注释行：\/\/fix_temp_v3。

“这是对手公司的惯用手法。”老夫子说，“他们用合规流程做掩护，专门挑考核期下手。你们要是现在冻结她的权限，等于让他们得逞。”

主管盯着屏幕：“你怎么能确定是外部人干的？”

“因为审批账号的登录设备不在登记名单里。”老夫子调出网络流量图，“看这里，指令触发前，有个加密信号从内网非注册终端发来，持续时间不到三秒，之后脚本才启动。”

“会不会是测试机？”

“测试机有备案mac地址，这个没有。而且通信协议特征匹配一种离职员工常用的远程工具——那个人现在就在对手公司上班。”

主管沉默了几秒：“那你打算怎么处理？”

“我申请临时协理权。”老夫子说，“由我接管这次审查，保证项目不停摆。所有数据我都打包存证，后续谁要追责都能查。”

主管犹豫片刻，点头：“行，给你二十四小时。但如果再出问题，必须停权整改。”

人走后，陈小姐松了口气，但手还在抖。

“你还撑得住吗？”老夫子问。

“能。”她点头，“会议纪要还没写完，我继续弄。”

“对，保持节奏。”老夫子说，“别人越想让你乱，你越要稳。”

他回到自己工位，打开加密档案库，新建文件夹命名为“待溯源案件#373”。把异常补丁、通信记录、行为轨迹全拖进去，加上时间水印。

然后调出金手指的“行为重构”功能，准备逆向追踪那个加密信号的完整路径。

信号最初出现在b区三楼角落的一个闲置工位，那里原本是行政助理的位置，上个月刚调走。设备早就清空，但内网权限没及时注销。

老夫子顺着跳转节点一路往前推，发现信号经过三次代理转发，最后一次连到了城西一家小数据中心的公网ip。

他记下地址，又返回查看原始通信包残留数据。在一堆乱码里，捕捉到一段可识别的握手协议——正是那个离职员工曾用过的远程控制软件。

“有意思。”他低声说。

这时手机震动，大番薯发来消息：“晨光计划进展顺利吗？需要我送水吗？”

老夫子回了个“不用”，顺手把聊天框关了。

他重新聚焦在那条加密通信记录上，光标停在最后一个跳转点。只要再点一下，就能查看对方服务器的响应头信息，或许能找到更多关联痕迹。

他右手放在键盘上，食指悬在回车键上方。

屏幕上的进度条开始缓慢加载。