第50章 程序

    雨天，倾盆大雨，很久都没这么下过了。
    田蕊拿著一封举报信出去了。
    季洁看著不解的张扬，解释说：“前几天的案子，从下面转过来的。有个老人死了，坠电梯摔死的。昨天门口收到一封举报信，说电梯运行程序被人做了手脚，不是故障，是谋杀。田蕊拿著信去找举报人问问情况。”
    张扬坐在工位上，重复了一句：“运行程序？”
    季洁看向他：“哦对了，你电脑技术不错，从技术角度分析分析，能在电梯运行程序上动手脚吗？”
    张扬想了想，说：“这得看怎么动了。要是只控制开门关门，或者在某个时间段把所有的电梯都关了，单留一部开著，这不算难。”
    深蓝在脑海中出声。
    【正在分析电梯控制系统漏洞。】
    【目標型號：otis elevonic 411，主控板基於intel 80186处理器，运行irmx实时作业系统。当年这类电梯控制柜的串行接口通常没有加密验证，只要能物理接触到控制柜的rs-232维护埠，或者通过楼宇自控系统bas的共享总线进入，就能直接发送调度指令。缺点是会留下日誌，但那个年代很多物业根本不会去查，更別提备份。还有一种方式，如果电梯的楼层呼叫信號走的是can总线，在总线上掛一个节点模擬楼层按钮信號，也能骗过主控。】
    【结论：2003年这个时间节点，技术上是可行的。】
    季洁又问：“你能查出来吗？”
    张扬点头：“去看电脑日誌就行。这年头很多人都不看日誌的，我们查一下就能知道是什么时候开启的程序，也就能確定案发的准確时间。如果確实是谋杀，我们需要一份搜查令。”
    正说著，田蕊回来了，气呼呼地把举报信往桌上一拍，说：“季姐，本故事纯属虚构！”
    季洁看著她那样，忍不住说：“我说你是飞回来的呀？我给你掐表算了算，你跟那位电脑迷的对话最多没超过五分钟。”
    田蕊灌了口水，缓过气来才说：“我倒是想问仔细点儿，可他那態度……根本没法聊。”
    季洁拿起包站起来：“跟我走吧。张扬你也去，咱们验证一下想法。”
    张扬应了一声：“好。”
    田蕊还在座位上嘟囔：“还去啊？谁会杀一个没权、没钱、没色、老眼昏花、牙都掉光了的退休老头儿？”
    季洁头也不回，指了指楼上：“你要是不想去，瞧见没有？上楼拐弯，周支队办公室在那边。”
    田蕊没话说了，抓起包跟了上去。
    三人开车到了那个小区，找到物业的人，对方一见又是警察，脸上写满了不情愿：“哎，这公安局不都定了是意外死亡吗？怎么还查啊？”
    季洁没接他的话，反问：“你们一年收人家多少物业费？”
    物业那人被噎了一下，訕訕地说：“13號塔楼的电梯一直运转不正常，也不是什么大毛病，谁知道那天出这么大的事儿。”
    田蕊在旁边说：“你自己要是住13號楼，是不是就能马上想起来了？”
    物业人员辩解道：“我们报修是晚了点儿，可电梯公司迟迟不来人，耽搁了好几天，我们在这期间也做了防范措施的。”
    季洁问：“什么措施？”
    物业那人赶紧说：“我们在每一层的电梯口都贴了条子，还各个楼层都通知到位了，谁能想到还是出了这种事。”
    一行人走到电梯口，季洁注意到门上確实贴著纸条，写著：请您在进入电梯之前確认轿厢位置。
    就在这时电梯门忽然开了，里面走出来一个很漂亮的女人，物业工作人员一见她就堆上笑脸：“小廖出去啊？你的车位可给你定好了啊，88號。”
    小廖只是淡淡点了点头，什么也没说，径直走了。
    物业那人尷尬地嘟囔了一句：“哎，你怎么不谢谢我啊。”
    电梯门还开著，季洁先走进去勘查，张扬没跟进去，扭头问那个物业人员：“我想去你们物业办公室看看，电梯的运行程序是在办公室的电脑里控制吗？”
    物业那人挠挠头：“这个……我也不太懂，不过好像是在那边。”
    到了物业办公室，角落里搁著一台老旧的台式机，灰白色机箱，配的是那种大屁股crt显示器。张扬坐下时椅子嘎吱响了一声，他没在意，先扫了一眼桌面，windows 2000的系统，图標排得乱七八糟，右下角任务栏掛著一个电梯监控软体的图標，名字叫“otis elevonic supervision”，版本號1.2.3。
    张扬先点开软体界面看了下，主窗口显示小区六部电梯的运行状態，其中13號楼那部標著红色“锁定维护”。他按了alt+tab切出去打开命令行，先ping了一下电梯控制柜的ip——192.168.1.41，通了。
    “深蓝，帮我看看。”
    深蓝的声音在脑海里响了一声。张扬手指飞快敲键盘，先调出系统进程列表，找到电梯监控软体的进程名“otissv.exe”，然后打开一个十六进位编辑器，开始查看这个程序调用的动態连结库。深蓝在后台同步扫描，大概三分钟后，分析结果出来了。
    【该软体的电梯锁定/解锁指令通过tcp埠4001发送，协议未加密，指令格式为“lock [电梯编號][时长]”和“unlock [电梯编號]”。更关键的是，程序登录管理后台的密码验证是本地完成的——密码哈希值明文写在安装目录下的config.ini里。】
    张扬点进安装目录，c:\program files\otis\supervision，果然有个config.ini。用记事本打开，翻到[admin]那一栏，password后面是一串十六进位字符。他从兜里掏出一个128兆的u盘，拷了个自己写的哈希破解小工具进去，跑了不到三十秒，密码就出来了：admin123。
    “这也太不走心了。”张扬嘟囔一句，用这个密码登进了管理后台。
    后台界面很简陋，白底黑字，左边菜单栏，右边操作日誌。张扬没急著看日誌，先在菜单里找到“电梯状態控制”这一栏，点进去一看，13號楼的锁定指令確实掛著，但来源ip不是这台物业电脑，而是192.168.1.200，一个不在物业办公室区域网內的地址。
    “有人从外部进来了。”
    张扬手指没停，切回命令行开始写python脚本。那是python 2.3的年代，他用的还是idle编辑器，代码一行一行往外蹦。脚本跑完，六部电梯里只有13號楼那部处於锁定状態，其余全部正常。他把脚本关掉，又翻出系统日誌，那个年代的日誌功能虽然简陋，但该有的都有：时间戳、操作类型、来源ip、执行结果。他按ctrl+f搜索案发当天的日期，屏幕一行一行往下走。
    从凌晨零点开始，日誌里都是正常的定时巡检指令，每十五分钟一次，来源ip全是本机127.0.0.1。张扬继续往下拉，眉头微微动了一下，凌晨零点十七分，出现了第一条异常记录，来源ip正是192.168.1.200，操作类型是“login”。
    有人登录进来了。
    接著是一条“query 13-1 status”，查询13號楼1单元电梯状態。然后是一串配置指令，张扬一条条看过去，嘴里念著：“先查状態，然后改了定时参数……设置的是凌晨一点整触发，锁定13號楼某一层。”他手指在屏幕上点了点，“定时装置。”
    再往后翻，凌晨一点零二分，同一个ip又发来指令，把定时任务刪除了，然后註销登录。前后操作时间不到二十分钟，乾净利落。
    张扬站起来，把屏幕转向季洁那边：“季姐，申请查案吧。案发当天夜里十二点十七分，有一个陌生id远程登录进了电梯控制系统，先查了13號楼电梯的状態，然后用定时装置设定凌晨一点整锁定某一层电梯门。操作完还把定时任务刪了，要不是日誌里留了记录，根本看不出来。”
    季洁弯腰看屏幕，日誌记录一条一条清清楚楚，时间、ip、操作內容全都在上面。她直起身子，语气变了：“这个ip能追吗？”
    张扬重新坐下，在命令行里输了个命令查192.168.1.200的mac地址，说：“能追。这个ip不在物业的固定分配表里，说明有人临时接入了小区区域网。我调一下交换机日誌，应该能查到这个mac地址对应哪个网口、哪栋楼。”
    他又敲了几行命令，屏幕上的数据一行行往下跳。物业那人站旁边看得一愣一愣的，完全没想到这台老爷电脑还能翻出这么多东西。
    很快位置查出来了，张扬说：“是外部接入的网络。”转头问物业人员，“你们楼里是不是有网线外接的口？”
    物业人员摇头：“我不知道啊，不过十二楼有个电信的箱子。”
    张扬看向季洁：“季姐，应该就是那个箱子。他带了笔记本过去，接上网线设置定时装置，作案结束以后再回去把程序刪乾净。”
    季洁当机立断：“回队里。”
    回到队里后，看著老贺高兴地坐在那里。
    张扬问道：“老贺，怎么了这么开心？”
    老贺笑嘻嘻地说道：“杨震他们早上接的案子，刚才就有人投案自首了。”
    张扬也笑著说道：“杨哥他们运气不错，这么快就破案了。”
    “那是啊。”