第529集：离职背后的阴谋（1/2）

老夫子盯着屏幕，手指在键盘上敲了几下，把那个伪装成“内部测试组”的加密文件包拖进分析窗口。系统立刻弹出警告：签名不匹配，文件来源不可信。

他冷笑一声，顺手调出邮件日志。这封邮件是从王总的外联邮箱发出的，中途经过两个跳板服务器，最后伪装成公司内网自动推送的消息。手法挺熟练，但忘了金手指能回溯完整路径。

他正要继续追查，手机震动了一下。是王工发来的消息：“夫子哥，我刚接到人事通知，说我的离职流程还在走，账号还没注销。”

老夫子眼睛一亮，立刻拨通电话。

“王工，你现在能不能远程登录系统？我们得查点东西。”

“可以试试，但我权限被冻结了。”

“没事，我这边给你开个口子。”

他打开金手指的应急模块，输入一串指令，屏幕上跳出“影子权限已激活”的提示。这是他早年设下的后门，专门应付这种关键时刻，连公司it都不知情。

几秒后，王工的声音从听筒里传来：“进去了！我能看见所有终端的实时进程。”

“先别动，扫描一下有没有异常服务项。”

王工那边安静了几秒，突然压低声音：“有个叫‘syncservice_update’的程序正在运行，但我查了，技术部最近没人部署过这个服务。”

老夫子立刻调出流量监控图，发现有一条数据流正悄悄往外传，目标ip位于境外。

“记下它的传输频率，别切断，先放着。”

“明白。”

他站起身，在办公室来回走了两步。王总这一招玩得挺深，表面挖人，实际是调虎离山。等王工一走，技术部防线空虚，他们就派人进来种后门。

可他们不知道，王工没走。

而且，现在是他们在明，我们在暗。

老夫子重新坐下，打开监控录像系统，按时间筛选今日上午机房的出入记录。果然，九点十七分，一名穿着it巡检服的人进了机房，手里提着工具箱，动作利落。

他放大画面，看清了那人的脸。

“王总的助理？”

他差点笑出声。堂堂助理亲自下场干这种事，还真是看得起他们。

“老王，你看到刚才那段录像没有？”他对着手机说。

“看到了。”王工声音有点抖，“他是自己动手装的，不是远程推送。也就是说，后门已经落地了。”

“没错。”老夫子点头，“但他们以为我们还蒙在鼓里。”

他手指敲着桌面，脑子里飞快盘算。现在证据链已经有了：可疑邮件、非法接入设备、隐藏服务进程、境外数据传输、还有现场操作视频。只差最后一步——确认这个程序到底想拿什么。

“你能不能反编译那个服务？”他问。

“我试试。”

等待的时间里，老夫子喝了口凉掉的茶。味道有点涩，但他没在意。他盯着屏幕上那条持续不断的数据流，像看着一条悄悄爬行的蛇。

几分钟后，王工的声音再次响起：“成了！我拿到了部分代码片段。这玩意儿不只是传数据，还能远程控制主机，监听键盘输入，自动打包指定目录的文件……标准的商业间谍软件。”

老夫子眯起眼：“它在找什么？”

“看命名规则……它优先抓取带‘nucleus’和‘v2’标签的压缩包。那是我们新系统的源码备份。”

话音刚落，系统警报突然响了。

【检测到大体积文件上传，目标：境外服务器

文件名：nucleus_source_v2.zip

传输进度：12%】

老夫子猛地坐直。

“他们动手了。”

“要不要断网？”王工问。

“不能断。”老夫子摇头，“一断他们就知道暴露了，程序可能会自毁。我们现在要做的，是让它继续传，但传出去的东西——得换。”

“你是说……调包？”

“对。”老夫子快速操作起来，“我把真正的源码目录屏蔽，再建一个假的，里面放些过时版本和无用文件。让他们传个寂寞。”

他一边设置虚拟映射路径，一边叮嘱：“你继续监控，一旦发现他们尝试远程执行命令或删除痕迹，立刻告诉我。”

王工应了一声，声音比刚才稳多了。

老夫子瞥了眼时间，十点零七分。整个过程不到二十分钟，对方可能还以为一切顺利。

他靠回椅背，嘴角微微扬起。

你们想偷东西？

行啊。