第132章 杀上门去（1 / 2）

晚上十点，招待所房间。

王哲和张涛还在分析数据。他们把从李峰电脑恢复出来的监控工具，放在测试环境里运行，观察它的行为。

工具运行起来很安静，没有界面，只有一个后台进程。它每分钟采集一次系统数据：CPU使用率、内存占用、网络流量、进程列表……然后打包加密，通过HTTP协议发送到一个远程服务器。

服务器的IP正是爱立信广州办事处的内网地址：192.168.10.205。

“这个工具写得不错，”张涛一边看反编译代码一边说，“用了多线程，数据压缩，加密传输。不是业余水平。”

“能追踪到具体的接收人吗？”林辰问。

“难，”王哲说，“IP是内网地址，出了爱立信办事处就追踪不到。而且数据是加密的，我们破解不了加密算法——用的是RSA 1024位加密，1998年，这算是军用级了。”

线索又断了。知道爱立信在监控，但不知道具体是谁在操作，不知道他们的完整计划。

“等等，”周峰突然说，“这个工具除了发送数据，还接收指令。”

他指着代码中的一段：“这里有个命令解析模块，可以接收远程指令，执行指定操作：重启服务、修改配置、甚至……执行任意shell命令。”

“任意shell命令？”林辰心头一紧，“那岂不是可以控制整个系统？”

“理论上可以，”周峰说，“但工具的设计者很谨慎，给命令执行加了很多限制：只能执行白名单里的命令，而且每条命令需要二次确认。”

他翻到白名单定义的部分，屏幕上一行行命令：reboot、ifconfig、iptables、tcpdump……

“tcpdump，”张涛指着这个词，“这是网络抓包工具。爱立信的人，可能在抓取华为设备和其他设备通信的数据包。”

“为了分析华为的协议？”王哲问。

“对，逆向工程，”林辰明白了，“他们也在研究华为的技术。只不过，他们是用间谍手段，我们是光明正大的技术交流。”

讽刺。两家公司，都在研究对方的技术，但手段截然不同。

“这个工具有没有日志功能？”林辰问。

“有，”周峰翻找代码，“日志保存在本地，加密存储。但李峰逃跑前，可能删除了日志文件。”

“能恢复吗？”

“我试试。”

又是一轮数据恢复。深夜的酒店房间里，只有键盘敲击声和机器风扇声。

凌晨十二点，周峰终于喊了一声：“恢复了！日志文件，三百多KB。”

他打开文件，里面是密密麻麻的时间戳和操作记录。大部分是正常的数据采集和发送，但有几条记录很可疑：

12/15 22:47: RECV_CMD: start_tcpdump eth0 12/16 01:23: RECV_CMD: stop_tcpdump, upload /tmp/ 12/18 19:56: RECV_CMD: modify_iptables DROP 192.168.1.100 12/20 23:05: RECV_CMD: exec_shell echo 1 ＞ /proc/sys/kernel/panic

最后一条命令的时间，正是天河城基站故障发生前。

echo 1 ＞ /proc/sys/kernel/panic——这条命令的作用，是触发系统内核恐慌，导致系统立即崩溃。

“这就是强制重启的指令，”张涛说，“通过李峰电脑上的监控工