网络保安部小型会议室，“马人”事件专案组碰头会。

李闯汇报目前工作进展：“‘马人’事件事发之后，我们在丁主任的办公终端上起获了一个木马传输端口，应用反汇编技术解析，我们发现泄密文件就是由此端口传出去的，这个软件端口在物理意义上直指USB硬件接口，也就是说此次泄密事件是通过移动存储介质来作为传输途径的。”

老黄补充：“研发部门作为集团公司的机密要害部门，网络保安部在安全管理策略上实行了连接控制，只能访问内网，严禁连接外网，台式办公终端上一律不安装光盘刻录机与磁盘读写器，蓝牙红外更不用提，所以USB传输是唯一途径。”

李闯：“就此原因，我们打着临时安检的旗号，收缴并审计了所有研发部门配发给员工的移动存储设备，包括移动硬盘与U盘，丁主任的也在其内，数据恢复之后均未见到14条配方与HN抗神加密文件的文件体。由此我们把工作重点转到丁主任家中的个人电脑上去进一步调查取证，在其系统内我们起获了同一木马传输端口，编码以及置放位置与其办公终端上的完全吻合，并恢复出了已是删除状态的泄密文件。”

昨天下午查证监控录像，NSD的全体工作人员眼瞅着研发二部黑漆漆的办公区内无人操作的电脑竟然自行启动，木马程序应用丁主任的合法身份与权限登录了配方服务器，浏览机密信息，读取配方数据，之后心满意足地退出系统悄然关机，尘归尘土归土黑夜归黑夜，办公区内又恢复了往日的静默。可这仅仅只有十几分钟的窃密过程足足令显示墙下的众人大吃一惊，见过世面久经大敌道行颇深的还好说，老黄李闯路开微微点头，一众小年轻儿可受不了了，唏嘘之声响成一片，惊讶之词不绝于耳，只有那剑一人抱肩含笑，好似成竹在胸。

李闯火速抽调人手赶往研发二部去做移动介质的审计工作。集团公司有相应的保密规定，除去单位配发的加密移动存储设备，一律严禁往办公终端上连接任何私人数码物品，移动硬盘、U盘自不必说，就连MP3也是不被允许的。

老黄望了一眼那剑：“基于监控录像显示，目前可以定性为是带有BIOS自启动功能的定制木马在作祟，只是尚不明确来源，以及怎样安装到丁主任办公终端上去的。”

前一段儿时间央视十套的《走进科学》栏目就报道过一起貌似灵异的事件。两个女生合租在一套公寓里，但半夜放置电脑的书房却经常会顺着门缝透出来光亮，吓得两个女孩心惊肉跳，祖宗奶奶七大姑八大姨地一通狂喊，大有美片《惊声尖叫》的气势，抱着枕头瑟瑟发抖。后来查来查去原来是电脑中了木马病毒，那种木马就是华夏制药研发二部丁主任所中的BIOS自启动木马。

李闯：“集团配发给丁主任的移动设备上未见丝毫可疑程序，现在就是不好确定到底是通过什么移动介质进行传递的，把木马程序从家中电脑上导进来，又把泄密文件从办公终端上导回去。”

可逮着话茬儿了，憋了半天的老于使劲摇了摇头，急不可待：“哎，杰克老黄，要我说你们俩分析的还是有欠妥的地方。丁主任办公终端上是安装了木马程序，没错！可那到底是别人给他装上去的还是他自己装上去的？还有，集团配发的移动设备上是没什么线索，可他不会偷着用自己的U盘导进导出吗？USB上的审计可不好审，只能查到输出文件与流量，到底他插了没插自己的谁也搞不清楚。”

老于还算懂点技术。