第122章 筛查

姜凌没有再催促梁九善, 而是安静地等待着他关机，将电脑放回背包，这才和他一起离开办公室, 前往技术组。

技术组的李斌早已焦头烂额, 一见到梁九善过来, 顿时如获至宝，将他拖到电脑前坐下：“来来来，你来操作。”

所有技术人员都涌了过来，站在梁九善身后，想要学习一下怎么在网络上寻找对方犯罪的痕迹。

一谈及专业, 梁九善自信而笃定，整个人像发光体一般。

“他不是偷了钥匙在不同的时间、不同的地方开门偷东西吗？银行的原始日志就像遍布大楼的监控录像带, 记录着每一扇门在什么时间被哪把钥匙打开过，打开了多久，在里面干了什么。但录像带太多了，堆成山, 人工看几辈子也看不完。”

梁九善一边飞快地敲击键盘，调出需要的工具脚本, 一边语速极快地解释：“我的办法是, 设计几道过滤网。第一道网：时间。筛查后保留所有案发时间点前后半小时内的登录记录。第二道网：地点。锁定所有发生过异常转账操作的终端编号及其关联服务器。第三道网：也是最关键的，异常钥匙。专门筛选那些使用高权限通用账号、默认口令账号、或者使用非标准认证协议进行的登录行为, 尤其是那些在终端物理位置显示为空闲、维护、甚至关机状态下发生的登录。”

他的手指在回车键上用力敲下，屏幕上瞬间开始疯狂滚动起密密麻麻的日志条目, 速度快得让人眼花缭乱。

梁九善紧盯着屏幕，回过身看向站在身后的技术人员：“这有点像在浩如烟海的监控录像里，用程序快速扫描，专门挑出那些深更半夜不该有人上班的时间点、本该锁着门或者里面没人的办公室、有人拿着不该出现在那里的、权限极高的□□, 大摇大摆打开了门。只要他用了偷来的钥匙，就一定会在这录像里留下身影！”

旁边所有人都兴奋起来。

“对对对！就是从录像中找异常的过程。”

“以前咱们靠人眼，累得很。”

“现在相当于用电脑设定一个筛查程序，层层过滤，最后挑出异常画面。”

李斌冲着叽叽喳喳的众人比了个“嘘——”的姿势。

大家都安静下来。

办公室里只剩下梁九善敲击键盘的嗒嗒声，以及其他人屏息凝神的注视。

李振良、刘浩然、周伟也赶了过来，目光紧紧锁在梁九善那不断刷新数据的屏幕上，他们虽然不懂计算机，但能感觉到梁九善出色的专业能力。

现在，梁九善就是大家的希望。

姜凌站在梁九善侧后方，目光沉静地落在飞速滚动的屏幕上。

她不懂那些复杂的指令和参数，但她看到了梁九善紧绷的侧脸线条和眼中跳动的专注火焰，看到了他额角渗出的细密汗珠，看到了他因为长时间专注而微微发白的指关节，也看到那份属于技术人才的执着与自信。

时间一分一秒过去。

屏幕上的数据流如同奔腾的江河，冲刷着无形的堤坝。梁九善眉头紧锁，双手在键盘上舞动得更快，不断调整着过滤参数，增加新的筛选条件，试图从海量数据中寻找到线索。

“太多了……符合‘异常钥匙’特征的登录记录还是太多……大部分是银行自己人图省事的违规操作……”梁九善喃喃自语，声音带着一丝不易察觉的焦躁。

他揉了揉发酸的眼睛，深吸一口气，强迫自己冷静下来。

察觉到了梁九善放缓了速度，所有人更不敢说话，生怕打扰了他的思路。

姜凌排开众人，走到梁九善身边，弯腰在他耳边轻声道：“九善，别急。还记得我们分析过他的操作习惯吗？他总忍不住要做点小动作，试图清理，但又做得不完美。这种心理强迫，会不会在他每次用电子钥匙开门之前也有体现？比如，把钥匙插进锁孔后，先左右转两下，试试钥匙灵不灵？或者说，像小偷在动手前，总喜欢先轻轻推一下门，确认一下锁的状态？”

姜凌的话，如同迷雾中闪过的一道光。

梁九善猛地抬起头，眼中爆发出灿烂的光芒：“试钥匙？对！他可能……他一定会先测试！测试这把偷来的电子钥匙在那个时间、那个终端上能不能用。尤其是在他第一次使用一个新偷来的高权限账号，或者换到一个新终端操作的时候。这种测试登录通常极其短暂，目标明确，仅仅验证权限，不做任何实质性操作，之后立刻退出，很容易被忽略。”

思路一下子打开。

梁九善的手指爆发出前所未有的速度，在键盘上敲击出一连串密集如雨的指令。他重新构建了过滤条件。

梁九善知道姜凌叫他来的意思。

随着电脑的应用与普及，未来这种新型犯罪会有更多，他不仅要解决这次的问题，还要让更多的技术人员更新知识、提高技能。因此，破这个案子，他不仅要做，还要说，要教会更多的人。

“我们开始重新搜索。在每一笔最终确认的幽灵转账或取现操作发生前的一小段时间内，搜索同一台终端上发生的、极其短暂的登录记录。登录后只进行了极少数几个基础查询指令，比如查看时间、查看自身权限级别，没有任何实质性资金操作，然后立刻退出。这种记录，就像是小偷在真正下手前，先偷偷拧一下门把手，确认锁开了，然后退到暗处观察片刻，再正式行动。”

新的筛查程序再次启动。

这一次，屏幕滚动的速度似乎慢了一些，但每一次刷新都牵动着所有人的心弦。梁九善的身体微微前倾，鼻尖几乎要碰到屏幕，眼睛一眨不眨地追踪着每一条被程序高亮标记出的可疑记录。

突然！

屏幕上滚动的数据猛地一顿。

一条被红色边框高亮标记的记录，如同深海中的夜光鱼，突兀地定格在屏幕中央。

时间：7月15日，下午3点05分。

终端：城南支行，培训室，终端号：TRN_OLD_07 ，标记状态：已停用、待报废。

登录账号：sys_maint_bak。

操作：登录 -> 执行指令：show time -> 执行指令：whoami -> 退出登录。

持续时间：9秒。

紧接着，在3点11分，同一个TRN_OLD_07终端，使用另一个不同的高权限账号登录，完成了一笔5000元的转账操作，操作指向孙明账户。

“找到了！”

梁九善的声音因为激动而微微发颤，他指着那条只有9秒的“测试登录”记录。

“看这里，就是它！TRN_OLD_07！城南支行的培训室，一台本该早已废弃停用的老旧终端。他在真正动手转账前5分钟，用偷来的一个高权限账号先登录进去，只做了两个最基础的命令，确认时间、确认当前权限用户，然后立刻退出，这就是他在试钥匙，是他做案前留下的痕迹。”