里。”林久浩。

    “先查看一下，Agent会重点盯着日志文件，日志是不是被修改了？”欧阳。

    “Agent文件记录，日志文件被修改了三次，分别是Agent刚被阻塞的时间后四分钟后，然后是前一次后五分钟，然后是前一次后的三分钟，具体修改了什么，不知道。”林久浩。

    “很好，很好，太好了，但愿，他们没有用系统认可的注册用户修改日志文件。”欧阳那边松了一口气。

    “欧阳工，怎么太好了？”林久浩不明白。

    “Agent有一个小的功能，是我们加进去的功能，当时专门针对【观景窗服务器系统】，如果不是系统用户修改日志文件，Agent会备份日志文件到一个隐蔽的目录。”欧阳。

    “也就是说，第一次修改发生在三分钟，我们得到了一个三分钟时的日志。”林久浩。

    “对，而且在那个隐蔽目录里面会有三个日志备份文件，分别打了三个时间标签，对应三次修改，去查看一下。”欧阳。

    “好的，我现在去看。”林久浩说完，打开了目录，里面果然有三个文件。

    “好，我们继续。”欧阳。

    “打开第一个日志文件了。”林久浩。

    “检查到了什么？”欧阳。

    “第一个文件后面显示，从一个内部接口通过地址转换后的IP传入三个文件，看文件名应该是运行文件，packetZIP.EXE，COPYitOUT.EXE，COPYitIN.EXE。”林久浩叙述着。

    “查这个地址转换后的IP地址对应的外部IP地址。”欧阳继续指导。

    “好的，警方去查了。”林久浩。

    “你继续看第二个文件。”欧阳继续。

    “第二个文件里面，运行了COPYitIN.EXE，然后现在应该有两个程序在运行状态，COPYitIN.EXE、INTERMEDIATOR-link。”林久浩继续叙述。

    “继续。”欧阳。

    “COPYitIN.EXE删除盘上存储的COPYitIN.EXE源文件，从一个172.16.3.100的地址上传输了一个目录的文件，大约5GB，然后启动了packetZIP.EXE，并杀掉COPYitIN.EXE进程，同时删除盘上存储的packetZIP.EXE源文件。”林久浩。

    “172.16.3.100地址，这是内部网的地址呀。”周围机器人研究所的安全工程师议论着。。。

    “让研究所的人查一下这个172.16.3.100地址及被复制的文件是什么？你继续看第三个日志文件。”欧阳继续说道。

    “第三个日志里面记录，用packetZIP.EXE对这些文件做了处理，根据刚才的情况，这个好像是压缩加密分割文件用的，运行后创建刚才外传的那组文件，同时删除用于加密的源文件，并修改了日志记录。”林久浩。

    “你继续告诉我日志里面的情况。”欧阳。

    “处理以后，启动了COPYitOUT.EXE这个应用，杀掉了packetZIP.EXE进程，同时把刚才的文件传出到一个外部IP地址，这个外部IP地址是上海地区的服务云，是。。。普洱茶爱好者服务器。”林久浩的手速很快，边说就边查到普洱茶爱好者服务器。

    “后面呢？”欧阳继续询问。

    “很奇怪，COPYitOUT.EXE没有运行完成，很奇怪，最后一个传输出去的文件，时间是14分59秒，他们居然把时间计算错了，所以，最后3%部分的文件传不出去，卡住了。”林久浩疑惑了。

    “很奇怪，确实-->>

本章未完，点击下一页继续阅读