第23章 终端指纹

鼠活动摘要、没有USB设备插拔记录、没有远程连接记录、没有进程启动详细列表，更没有“最后活跃用户”的SID信息。

这不是“取证结果”，这是“能让人停在灰区的供稿”。

周砚没有急躁。他打开“字段核验清单”，把缺失项一条条列出来：

-  事件日志原始导出格式（evtx或等效可核验格式）

-  安全日志4625/4648/4672等失败/凭据使用事件完整字段

-  设备本地用户会话列表与最后交互用户SID

-  输入法/键盘布局更改记录（用于辨别操作者习惯）

-  USB插拔与外设记录（若有）

-  浏览器缓存与最近访问记录（若有）

-  远程桌面/远程协助痕迹（若有）

-  计划任务/脚本执行记录（若有）

-  设备网络接口连接/断开与AP接入关联（若可）

他把清单保存为《302镜像字段缺口清单》，生成哈希，上传共享盘，同步梁总。

09:40，梁总办公室。

梁总坐在桌后，桌上放着打印出来的几页摘要材料。他没寒暄，开门见山：“你怎么看？”

周砚把文件袋放到椅侧，先说结论，再说理由：“现在这批材料不足以形成追溯结论。它能证明‘失败登录发生在302’，但不能证明‘谁操作了302’，也无法排除‘脚本/远程/计划任务’。摘要缺了关键字段，容易被用来做‘无法锁定单一责任人’的结论。”

梁总眼神一沉：“信息安全部说这已经是他们能提供的。”

周砚语气不变：“那就让他们出具‘不能提供的理由与替代核验方案’，并由法务确认这不影响定性。否则他们一句‘无法提供’，就能把责任推回账号持有人。现在是项目事故风险，不能靠摘要。”

梁总沉默几秒，抬手敲了敲桌面：“你想要什么？”

周砚把字段缺口清单递过去：“三件事。第一，要求提供原始日志导出或等效可核验格式，不接受只有摘要；第二，补充门禁刷卡人员与设备前后时段的交叉验证——谁刷卡进入后，设备是否出现唤醒/键鼠活动；第三，给出‘临时结论’措辞：在完整字段未提供前，不得对外形成倾向性定性，不得写‘账号持有人管理不当’。”

梁总看完清单，点头：“我来压。你继续把项目跑起来，别让这条线拖住你。”

周砚起身前补了一句：“还有一件事。昨天开放日后法务发的那份‘事后改写说明’，我已经拒签并要求重拟。请您把这个动作也纳入风险控制，否则他们会用文件偷走成果归属。”

梁总抬眼看他：“我知道。你继续留痕。”

10:17，回到工位，周砚不等信息安全部“补充”，直接先发起一封正式邮件请求，收件人：信息安全部负责人，抄送：梁总、法务。

主题：《302终端镜像取证材料补充请求（需提供可核验原始日志字段）》

正文极短，四点要求精准落地：

“1）请提供涉事时段Windows安全日志原始导出（evtx或等效可核验格式），至少包含失败登录事件的完整字段（事件ID、目标账号、来源进程、来源IP、工作站名、登录类型、调用凭据ID等）；

2）请提供设备本地交互用户会话列表与最后活跃用户SID/用户名，并标注涉事时段键鼠活动摘要（如系统可导出）；

3）请提供涉事时段USB/外设插拔记录、远程连接/远程协助痕迹（如有）、计划任务/脚本执行记录（如有），以排除非人工操作；

4）在上述材料未补齐前，请勿对外形成倾向性结论（包括但不限于‘账号持有人管理不当’），避免影响项目正常交付与责任定性。”

发送成功截图归档，更新合规清单。

10:43，信息安全部负责人回复得很快，却依旧像模板：“原始日志涉及网络安全敏感数据，需走更高级别审批；我们可以先提供经脱敏的字段截图。”

周砚盯着“字段截图”四个字，心里一声冷笑。

截图意味着不可核验；不可核验意