第7章 权限的把戏（2/2）

工作量巨大，而且似乎希望渺茫。这些人的技术背景看起来都很普通，不像能做出那种精妙入侵的样子。

林宸却没有气馁。他仔细地看着这份名单，大脑飞速过滤着。

“思妍，”他转向技术专家，“如果假设凶手是通过某个低权限账户，利用漏洞进行提权，那么系统日志里，哪怕被清理过，是否可能留下一些痕迹？比如，某个低权限账户突然访问了它本不该访问的核心资源？或者，某个账户的权限在短时间内发生了异常变化？”

赵思妍深吸一口气：“理论上，这种提权操作，尤其是利用未知漏洞的，会非常隐蔽，很难被常规日志记录。但是……”她顿了顿，眼中再次燃起挑战的光芒，“只要它发生了，就一定会引起系统内部状态的微小变化。或许在某种特定的审计日志、或是内核监控日志里，会留下极其细微的蛛丝马迹。这比直接找入侵记录更难，但值得一试！”

她立刻调整了数据分析策略，开始编写新的脚本，专注于筛查过去几个月内，所有低权限账户的异常行为模式：非常规时间的登录、访问了超出其权限范围的api接口、执行了与其角色不符的操作命令等等。

这又是一次真正的大海捞针，而且这次捞的可能是纳米级的针。

时间在煎熬中流逝。名单上的人员，张猛带人分头去进行初步接触和背景调查，但反馈回来的信息大多平平无奇，似乎每个人都只是普通地使用着自己的那点权限，看不出任何异常。

就在所有人都感到一丝疲惫和沮丧的时候，赵思妍那边的脚本再次发出了提示音——这次不是清脆的“叮”，而是一种低沉的嗡鸣，表示它发现了某种高度可疑的模式。

“有发现！”赵思妍的声音带着一丝疲惫，但更多的是兴奋，“我设定了一个模型，筛查低权限账户访问敏感系统调用的频率和序列模式……看这个！”

她指向屏幕上一个复杂的波形图，其中有一段微小的凸起。

“这个账户，‘qian_driver’（前司机小钱的账户），在大约一个月前，也就是恶意代码可能被植入的时间段前后，它的行为模式出现了一次极其短暂的异常！”赵思妍快速解读着数据，“它在一次正常的车库门开启操作后，其进程竟然紧接着发出了一连串极其短暂的、试探性的、指向系统服务管理器的请求！这些请求本身因为权限不足都被拒绝了，但它们的序列模式非常特殊，不像正常操作，更像是在……自动化探测某个已知的权限提升漏洞的利用路径！”

“司机小钱？”林宸和陈建国都愣住了。一个司机，怎么会懂这些？

“更奇怪的是，”赵思妍继续道，眉头紧锁，“这些探测请求之后没多久，这个账户的权限……似乎并没有提升成功，因为后续操作又恢复了正常。但是，几乎在同一时间，系统内核日志里记录了一个非常底层的、与进程间通信（ipc）相关的微小错误，错误代码指向一个……早已被修复的旧系统漏洞！”

“旧漏洞？”林宸敏锐地捕捉到关键。

“对！一个大概一年前就被披露和打上补丁的漏洞，关于智能家居中心集线器与子设备间权限校验机制的缺陷。”赵思妍飞快地查询着漏洞数据库，“按理说，陈明家这套最新款的系统，早就应该修复了。”

“如果……没修复呢？”林宸缓缓说道，一个可能性在他脑中形成，“或者，有人故意阻止了修复？”

“司机小钱的账户，像是在用自动化工具扫描和试探这个旧漏洞？”陈建国感觉脑子有点跟不上了，“他一个司机，哪来的这种工具和知识？”

林宸的目光变得锐利起来：“也许，他根本不知道自己在做什么。也许，他的手机或者别的什么设备，在他不知情的情况下，被植入了某种东西，自动执行了这些探测。而他，只是一个被利用的‘跳板’！凶手需要的，根本不是小钱的那点权限，而是通过他那个已经被人遗忘的旧账户，来触发一个可能依然存在的系统弱点！”

权限的把戏，远比他们想象的更加曲折和狡诈！

幽灵似乎早就布下了多重迷阵。他可能早就发现了系统一个未被注意的旧伤疤，然后，他并没有自己动手，而是巧妙地利用了一个早已离职、权限低微、几乎不会有人注意到的前司机的账户，像操纵木偶一样，远程触发了一个早已设置好的机关！