们加入了中间人程序以后，为什么没有第一时间，杀掉Agent，是不是知道我们有秘钥握手机制？”林久浩问道。

    “小林，我教导过刘胖，做事要有耐心，先观察一下，这个黑客同样具备耐心，我低估他了，我设定的十五分钟握手，就是给没有耐心的黑客准备的。”欧阳。

    “也就是黑客发现了这个机制？对吗？”林久浩问道。

    “是的，他发现了这个机制，所以制定了整体计划在十五分钟内完成，黑客事先知道了172.16.3.100的文件位置，所以写好了程序。”欧阳。

    “已经查清楚了，172.16.3.100这个地址在内部数据网计算云上的服务器，与办公网之间有物理隔离措施。”林久浩说道。

    “肯定办公网与内部网络被联通了，否则无法拷贝文件，这一点让研究所的人配合警方去查，我们继续。”欧阳。

    “继续。”林久浩。

    “攻击开始，他们用中间人阻塞了Agent与山神的通讯，并接替Agent向山神发送【平安无事】，接替时间恰好在秘钥握手的一个完整周期的开始点。”欧阳。

    “如果不阻塞Agent，他们是不是就可以成功完成入侵，并不被发现？”林久浩。

    “如果不阻塞Agent，对于他们来说更危险，因为他们无法获得Agent的所有监控参数，一旦开始在服务器上运行文件，并大数据量拷贝复制切割文件，一旦触发Agent，就会导致任务不确定性，事实上我们的Agent监控的参数比【平安无事】要多。。。这是高手，他决定阻塞Agent是很明智的，但是。。。时间怎么回事。”欧阳解释了阻塞的原因。

    “时间，就是他算错了时间，导致没有100%完成。”林久浩。

    “不应该呀，这个黑客思维缜密，从他制定的程序就可以看出来，所以，他对时间的估算只能提前，不可能超过十五分钟，但是，现在确实发生了超时现象，我们现在还不知道为什么。。。”欧阳边说边思考。

    “是不是？哦对了，查过来，那个时间点，这台服务器上没有大的应用，而且网络层面也没有出现故障延迟，所以，只能认为，黑客把时间估算错了。”林久浩。

    “不应该呀。。。好吧，我们继续吧。”欧阳。

    “好的，然后拷贝三个运行文件进来，地址查明了，泰兰国的IP，不过，VPN用户是我们上海的一位员工，他在泰兰国旅游。”林久浩把刚查出来的信息也通报了。

    “我们上海分所的员工，使用VPN用户登录的，他的上网行为有异常吗？”欧阳继续询问。

    “只是做了他平时的工作，工作时间也符合平常习惯，不过，查到一个现象，VPN登录的时候，激活了一次告警，不过，很快就恢复了。”林久浩。

    “要赶快通知警方，这个工程师有危险了。。。我们继续。”欧阳。

    “知道了，警方已经去查询这个工程师现在的情况，我们继续。”林久浩。

    “他们启动了COPYitIN.EXE，从172.16.3.100的目录位置拷贝了文件，启动packetZIP.EXE文件，杀掉COPYitIN.EXE，由packetZIP.EXE在服务器上打包加密、拆包分割成多个小文件。”欧阳。

    “他们太肆无忌惮了，这么猖狂。”林久浩。

    “是的，他们拥有隐蔽用户和最高的权限，所以这么做是最好的方法，启动COPYitOUT

本章未完，请点击下一页继续阅读