最后,所有流量被汇聚到一个私有的、协议被伪装成普通视频流媒体的加密隧道中。
完成这一系列复杂操作后,他才真正开始网络侦查。
他的目标并非直接搜索“ls20160315”或“翠湖苑”,那太愚蠢。
他首先瞄准的是阴铁市国土资源局内部一个用于存放临时日志和缓存文件的次级服务器,该服务器安全等级较低,但有时会意外保留一些被主系统删除数据的碎片化备份。
他使用定制的扫描工具,以极低的速率和随机的时间间隔,扫描这些海量且杂乱的文件。
工具会自动识别包含特定时间戳(20160315前后)、特定关键词(如“隆盛”的拼音首字母变形、地图坐标格式字符)或异常操作记录(如深夜访问、高权限删除指令)的文件碎片。
数小时后,程序提示发现异常:一段本应被覆盖的磁盘扇区中,残留着一条来自2016年3月16日凌晨的日志痕迹,显示一个id关联到“隆盛矿业”安防部门的终端。
曾向市里某个综合协调办公室的服务器上传过一个加密数据包,数据包标签字段含有“7#”字样,上传动作完成后不到十分钟,该记录连同数据包本身被一个更高权限的账户强制彻底删除。
这条残缺的信息极具价值:它证实了在关键时间点,隆盛矿业向市里特定部门传递过可能与“7栋”相关的信息,并被迅速掩盖。
紧接着,李毅飞将目标转向更广阔的互联网空间,但方式更为隐蔽。
他编写了智能爬虫,模拟成千上万不同地域、不同网络环境的普通网民行为,分散地、低频地访问诸如“阴铁贴吧”、“本地论坛”甚至一些卡车司机使用的业余无线电爱好者的线上日志等边缘信息源。
爬虫并非直接搜索关键词,而是通过语义分析和关联模型,寻找描述“2016年3月15日夜间”、“翠湖苑附近”、“异常车辆(如救护车、警车)”、“矿区相关”等内容的零散信息。
这个过程耗时漫长,如同大海捞针。
终于,在天快亮时,爬虫在一个几乎被遗忘的、需要特定权限才能访问的本地卡车司机交流版块的历史存档中,抓取到了一条极短的帖子,发布于2016年3月16日凌晨,id正是“跑长途的老王”:
“昨夜(15号)后半夜,路过翠湖苑那边,看到有救护车和没挂牌的黑色轿车进出,动静不大,但感觉不对劲。