在林浩的电脑被送到市局的取证实验室后,数字取证专家张明磊警官首先从电脑中卸下硬盘,对其精确克隆后,将克隆盘送去进行静态分析。随后,他将原硬盘重新安装回电脑中,进行开机取证操作。
当张明磊启动电脑后,却发现其中运行着的,是一个近乎全新安装的 windows 13操作系统,并未安装任何第三方软件,更不用说黑客工具了。进一步检查系统日志显示,该系统安装于一年前。除了使用过内置浏览器浏览网页外,完全没有其他使用痕迹。
犯罪分子为销毁证据而删除电脑硬盘上的软件和数据,张明磊见得多了。然而,如果一个系统真正使用了超过一年,要消除所有痕迹几乎是不可能的。为此,张明磊继续对整个硬盘进行了深度扫描,试图找到已删除数据的蛛丝马迹,结果仍是一无所获。不久后,他收到了克隆硬盘的静态分析报告,也得出了相同的结论:这台电脑在过去一年间除了上网浏览一些新闻网站,几乎未被使用,硬盘的大部分数据位仍处于初始状态。
在派出所的会见室内,律师向林浩解释,警方选择传唤而非直接拘留他,很可能是因为目前手中的证据尚不足以构成确凿的指控,让他暂且无需过度担心。律师继续告诉他,警方特别关注的那两个时间点,正是王云飞手机遭入侵和他的社交媒体账号被用来发布“自首”信息的时刻。如果林浩能证明在这两个关键时刻自己没有操作电脑或任何可联网的设备,便可以作为最有力的不在场证据。至于家里网络的 ip地址成为攻击源以及登录证书的问题,这些本应由警方来寻找证据支持其指控,林浩没有必要自证无辜。
由于对法律不熟悉,并且孤身陷于囹圄,林浩此前的思考主要围绕着优雅。与律师沟通之后,他开始将注意力集中到案件本身。林浩开始努力回想前天下午那两个关键时间点,自己当时在做什么。
当林浩再次进入审讯室时,他感到自己心态更平和了。在新的询问程序开始后,便主动开口:“警官,我想补充一些信息。”
“想明白了?”警察似乎认为林浩准备开始配合了,“要补充什么信息?”
“刚才您问我,前天下午的两个时间点我在哪里,能否请您再告诉我具体是什么时间?”
“下午三点零八分,和下午三点四十三分。你说你在公司办公室,能记得这两个时间点你在做些什么吗?”
“三点零八分,应该是‘萤火虫’刚刚恢复正常不久,那时,我与公司的 ceo陈天宇,一起在给华瑞银行的信息技术部副总监赵明轩打电话,向他说明‘萤火虫’的故障与即将交付给银行的模型无关。这个电话是用我的手机拨出的,通话记录应该能证明这一点,陈天宇和赵明轩也都可以作证。”
“那么三点四十三分呢?”警察继续追问。
“和赵明轩通话结束大约是三点半,之后我就和运维组的同事在一起观察和监控‘萤火虫’的运行状态,毕竟刚刚经历了一次事故,所以一直持续到接近下班时间。运维组的同事都可以证明,包括后来被你们带走的周华。”
“你提供的信息,我们会去调查取证。”警察略带警告的语气继续说,“关于你家里网络的 ip地址,你有什么想补充的吗?”
林浩思考了片刻,回答道:“没有。从技术角度来说,仅凭 ip地址并不能确定攻击者身份,ip可以被伪造。当然,也有可能我的网络被别人作为跳板利用。所以,关于 ip地址我没有什么可以补充的。”