左侧是标准AES-256的密钥扩展流程图,右侧是样本数据中提取出的实际密钥扩展模式。两条流程线在大部分节点重合,但在三个位置分叉——分叉点被用红色圆圈标出,旁边有详细的数学公式和概率分析。
路容盯着那三个红圈。
她的专业直觉在嗡嗡作响。这种加密变体,她见过——三年前,在天启科技,李剑负责的一个内部项目就使用过类似的非标准加密。当时她问过为什么不用标准算法,李剑的回答是“安全需求特殊”。她当时信了。
现在她知道,那不是为了安全。
是为了隐藏。
第二张图是元数据结构树状图。树根是标准的数据包头部结构,树枝延伸出去,大部分是常见的字段:时间戳、数据大小、校验和……但在树的深处,有几条用红色高亮标出的分支——那是自定义扩展字段。字段名是十六进制编码,解码后是一串无意义的字母数字组合。
但路容看懂了。
那些“无意义”的组合,其实是一种简单的替换密码。密钥是项目名称的首字母缩写。
她试着在心里解码。
第一个字段:0x534A5F5052 → 替换解密后 → SJ_PR。
深蓝计划。
她的手指收紧,指甲陷进掌心。
第三张图是时间序列分析。横轴是时间,纵轴是数据包发送间隔。正常的网络数据流,发送间隔应该符合泊松分布,在图表上呈现为随机波动的点。但样本数据的时间序列图上,那些点虽然看起来随机,但在特定时间窗口——每天凌晨两点到四点之间——出现了规律性的“平静期”:整整两个小时,没有任何数据包。
平静期之后,会出现一个密集的数据包爆发。
爆发模式,与已知的黑市数据交易平台“暗网枢纽”的典型交易确认信号高度相似。
路容滚动到报告的最后一页。
结论部分。
她的目光
本章未完,请点击"下一页"继续阅读! 第4页 / 共10页