李默的审计脚本像一台精密的挖掘机,开始轰隆隆地掘进技术部尘封的历史代码仓库。他没有动用【真实之眼】,全凭扎实的功底和严谨的逻辑设计探测规则。赵雷被安排负责一部分外围模块的筛查,而王鹏塞进来的那名安全部同事,则主要负责……记录和观望。
脚本运行的第一天,就抓取到了一批“可疑”提交。大多是些代码风格不一致、注释缺失之类的小问题,符合任何一个大型遗留系统的常态。李默将这些整理成初步报告,例行公事地发给王鹏。
王鹏回复得很快:“收到。继续深入,不要放过任何细节。”语气平静,甚至带着鼓励。
但李默能感觉到平静下的暗流。王鹏在等,等他触碰到真正的核心证据,或者等他犯错。
第二天,脚本挖得更深。开始触及一些核心工具链和基础库的修改记录。
一份关于内部代码审核工具CodeScrutinizer的提交记录引起了李默的注意。提交者:WangPeng。时间:大约在刘工出事前两周。提交信息:优化审核规则引擎性能。
变更看起来是些算法优化和缓存引入,合情合理。但李默注意到一个细节:有一处关于代码混淆度检测的阈值被悄然调高了15%。
这很微妙。调高阈值,意味着一些原本会被标记为“高风险”的、经过刻意混淆或篡改的代码,可能会被漏掉。
是巧合?还是为后续的动做铺垫?
李默将这条记录标记为“待观察”,没有声张。
第三天。审计焦点转向系统权限模块附近的历史变更。这里是张工曾经负责的区域。
脚本发出了尖锐的警报!
它捕捉到一段极其隐蔽的提交,作者信息被伪装成张工(ZhangGong@qingtian.com),但提交使用的密钥指纹却与张工常用的不符。时间点就在张工电脑出事前三天。
这段提交在底层驱动代码中,插入了一段极其恶毒的、触发条件苛刻的指令:
// 伪装成硬件检测代码...
if (unlikely(!(readl(IO_ADDR_CHIP_ID) & CHIP_MASK)) {
// 检测到“异常”芯片ID(正常情况下绝不会发生)
pr_err("Fatal Hardware Mismatch Detected!\n");
// 并非正常报错,而是执行未公开的、具有破坏性的指令序列
__asm__ volatile(
"1: .word 0xee1e0f10 \n" // 可疑的ARM未定义指令,疑似触发特定寄存器写入
"b 1b" // 死循环,锁死CPU
);
}
这段代码被巧妙地隐藏在层层条件编译和宏定义之后,只有在极其罕见的、特定的硬件环境和内核配置下才有可能被触发。一旦触发,后果就是CPU锁死,伴随高电压冲击——完美解释张工电脑的“意外”烧毁!
提交注释写得冠冕堂皇:增加硬件兼容性安全检查。
“找到你了。”李默看着屏幕上的代码,心脏冰冷地跳动着。这就是陷害张工的铁证!虽然作者信息被伪装,但提交时间、代码风格、以及那独特的、喜欢利用硬件特性制造“意外”的手法,都指向同一个人——王鹏!
他立刻将这段代码连同完整的提交哈希、作者信息、时间戳全部截图保存,加密备份。
但他没有立刻上报。他在等,等审计脚本挖出更多东西。
