第2章 幽灵的邀请函 （1/7）

幽灵的邀请函

第三天。

沈谛安已经记不清这是第几次看表。凌晨两点十分，办公室的灯光惨白，从天花板上的格栅灯倾泻下来，照得一切都没有影子——或者说，一切都被照得只剩影子。他的工位在窗边，玻璃窗像一面黑色的镜子，映出他佝偻的背影和屏幕上滚动的代码。

他在追踪那条“蒲公英”地址指向的境外服务器。三天了，对方像一条泥鳅，每次快要触及内核时，IP就会跳转，路由就会重置，数据流就会消失在某个加密隧道的尽头。他换过三种追踪策略，动用了五个跳板，甚至写了一个自动化脚本试图预判对方的下一跳——都没有用。对方的技术在他之上，这一点他已经开始接受。

屏幕上的代码还在滚动。他揉了揉眼睛，指腹触到眼睑时，能感觉到眼球表面的干涩和微热——那是长时间盯着屏幕后，眨眼次数减少导致的。眼球表面像蒙了一层细沙，每一次转动都有轻微的刺痛。他从抽屉里摸出一瓶人工泪液，仰头滴了两滴。冰凉的液体滑进眼眶，短暂的刺痛后是片刻的舒缓。他眨了眨眼，液体顺着泪点流进鼻腔，有一股淡淡的咸味。

办公室很安静。这种安静不是绝对的静，而是由各种细微的声音组成的：服务器散热风扇的低鸣，空调出风口的咝咝声，远处某个房间里偶尔传来的脚步声，还有他自己的呼吸。这些声音混在一起，像一首催眠曲，但他不敢睡。他怕一觉醒来，那些线索就断了。

就在他重新看向屏幕的瞬间，邮箱客户端弹出一条新邮件提示。

“叮”的一声，在安静的办公室里格外刺耳。

发件人：省厅科技信息化处

主题：关于“净土系统”压力测试补充数据的通知

沈谛安的目光在发件人地址上停留了两秒。格式正确，域名正确，甚至连落款的字体和行文风格都和他平时收到的上级通知一模一样。他点开邮件，正文是一段标准的公文，用的是省厅惯用的仿宋字体，行间距、段间距都无可挑剔：

“各相关单位：根据‘净土系统’上线前最后一次压力测试安排，现需补充提交近三月异常流量监测数据。请于48小时内将数据包上传至指定加密信道。附件为数据格式说明及上传工具。”

附件是一个压缩包，名称是“”。大小，时间戳显示今天下午五点零三分创建。

沈谛安的手指悬在鼠标上。一切看起来都很正常，但他没有点开。他盯着那封邮件，眉头慢慢皱起来。额头上有一条细细的皱纹，平时不明显，但一皱眉就深得像刀刻的。

省厅科技信息化处的确负责净土系统的测试协调，他们的公文格式他也熟悉。但这封邮件里有一个细节——日期。今天是3月15日，但上周的内部协调会上，陆天明亲口说过，补充数据的截止日期是3月20日，要求48小时内上传，时间太紧了。当时他还觉得这个安排不合理，但陆天明说“上面定的，就这样吧”。现在这封邮件却要求48小时内上传，按时间算，截止日就成了3月17日，和协调会的安排不符。

他拿起桌上的座机，拨了省厅科技信息化处的电话。听筒贴在耳朵上，能听见线路里轻微的电流声。

响了三声，接通了。一个男声，带着熬夜后的沙哑：“您好，科技处。”

“我是虚拟犯罪调查科沈谛安。想问一下，今天发的那封关于净土系统补充数据的邮件，是你们发的吗？”

电话那头停顿了一秒。这一秒很长，长得沈谛安能听见对方的呼吸声。然后那个男声说：“什么邮件？我们没有发过关于净土系统的邮件啊。你是说那个补充数据通知？那要等下周一才会发，还在走流程。”

沈谛安的心脏猛地收缩了一下。他感觉胸腔里有什么东西被攥紧了，血液涌上头顶，耳朵里嗡嗡作响。他强迫自己冷静下来，说：“好的，打扰了。”然后挂断电话。

听筒放回座机时，他的手微微发抖。

他立刻断开那台电脑的网络连接——拔掉网线，关闭无线网卡，甚至把蓝牙也关了。然后才打开那个附件。压缩包里的内容他用十六进制编辑器看过，只有一个可运行文档：“format_”。没有其他隐藏文档。

他没有运行。他打开虚拟机，在一个与物理机完全隔离的沙箱环境里，双击那个文档。

屏幕上，一个命令行窗口闪了一下，然后弹出一个进度条，显示“正在解析数据格式……”。进度条平滑地前进，10%、30%、50%、70%、90%、100%。然后窗口关闭，一切恢复正常——看起来就像什么都没发生过。

但沈谛安知道，一定有东西留下了。

他检查沙箱的内存转储。没有异常进程，没有可疑线程，没有隐藏模块。检查磁盘写入记录。没有新文档，没有修改过的系统文档，没有注册表改动。检查网络连接。沙箱的网络是断开的，木马不可能向外发送数据。

一切正常得反常。正常得让他后背发凉。

就在他准备放弃、准备重新分析那个可运行文档的代码时，屏幕中央突然弹出一个对话框。

不是Windows的系统对话框，也不是任何常见软件的弹窗。那是一个纯黑色的窗口，没有任何边框，没有任何按钮，只有中间一行白色的小字。字体很细，像是某种手写体，但仔细看又不是——那是用像素点阵拼出来的，每一个笔画都带着微小的锯齿。

“您的数据格式已解析完成。如需查看结果，请点击确认。”

沈谛安没有点击。他盯着那行字，手指在键盘上悬着，大脑在飞速运转。这是一个钓鱼邮件。一个极其精准、极其专业的鱼叉式钓鱼攻击。对方伪造了省厅的邮箱，掌握了净土系统压力测试的日程，甚至知道他会先验证邮件真伪——那个“48小时”的时间陷阱，就是为了让他产生怀疑，从而在验证后放下警惕，打开附件。

但为什么？如果是为了窃取数据，这个木马应该静默运行，不应该弹窗暴露自己。

他点开了虚拟机的进程管理器，找到那个弹窗的进程，试图附加调试器。就在他准备操作时，那行白字消失了，取而代之的是一串新的字符：

“”

那些字符是白色的，在黑色背景上格外显眼。沈谛安看着它们，心跳开始加速。那是Base64编码——他太熟悉了。他复制下来，在另一个窗口里用标准的Base64解码：