凌晨四点一十七，信息科的灯光比夜色更清醒。影子主控的高权限会话被完整镜像保全，lm-ctrl配置路径、运维联系人表、跳板设备日志、分账结构与主控提成账户都已经钉死。现在缺的不是证据，而是把证据转换成可执行动作的那份“收网清单”。

周工把白板擦得几乎发亮，重新画了一个极简框架：

**人―账户―设备―地点―系统**。

每一项下面都留了空白，像等待填入的坐标。

纪检联络员坐在桌边，翻开内部行动模板，语气一如既往平稳：“收网最怕两件事：一是动作不齐，留出缝；二是名单不精，伤及无关。清单必须既全面又克制。”

罗工把昨夜的镜像日志摘要投到屏幕上：“影子主控会话里访问了运维联系人表。联系人表里三组人――开发、运维、财务――每组一个手机号。手机号都已映射到常用设备指纹，其中一台设备就是共享办公wi-fi的跳板源头。”

周工点点头：“好。人有了，设备有了，地点有了。再把账户扣上。”

护士长推门进来，手里仍然是那杯温水，只是今天她放下水后没有立刻走。她问：“你们准备动了吗？”

纪检联络员看了她一眼：“准备动，但不会让公众端波动。你那边只要继续守住口径――核验、不点、不转。”

护士长点头：“行动期他们会更凶。有人会被吓到，尤其是家属里年纪大的。你们收网，我守人。”

这句话让会议室短暂安静了两秒。周工把白板上的“系统”两个字圈得更重：“收网清单不是为了抓几个名字，是为了把‘系统’拆掉。”

系统提示在视野边缘亮起：

收网清单：人―账户―设备―地点―系统五维坐标

原则：动作齐、名单精、公众端稳

目标：拆系统，不追噱头

---

上午六点五十，清单第一轮成型。纪检联络员逐项确认，每一项都要求至少两类证据支撑，避免单点误判。

###一、人（角色与节点）

*影子主控（高权限操作者）：仓库日志+跳板设备指纹+lm-ctrl配置访问轨迹

*老梁（会务上游指挥）：会务协调员聊天记录+项目号派发+上传入口截图

*周总（支付对接指挥）：技术顾问对接文档+频控放宽指令+“三天内快速出清”证词

*发行中枢操作者：云盘访问记录+目录删除行为+ip同源关联

*财务分账对账人（可转为证人）：分账表+主控提成备注“上面”+转账路径

周工看着清单，提醒一句：“角色要写‘功能’，不是写‘名头’。我们要证明他做了什么，不是他是谁。”

纪检联络员点头，把“影子主控”后面补了一行：**高权限配置与数据分类洗白**，把“老梁”后面补：**项目号管理与线下采集指挥**。

###二、账户（资金刀尖）

*主控提成个人账户：分账结构+白名单表+止付核验命中

*会务报名费个人代收账户池：迁移包“注意事项”+收款码派发记录+支付平台提示日志

*退款出清接收账户：聚合支付接口日志+回调任务队列表+拆分退款特征

*会务服务公司账户：对接文档+深夜异常交易集群+共享办公门禁关联

罗工强调：“账户侧要同步推一条‘资金冻结误导’反制。收网当天他们会说‘你们被冻了，交解封费’，必须提前把这一话术在公告里钉死。”

纪检联络员把“解封费诈骗提醒”列为对外三句提醒之一。

###三、设备（跳板与操作终端）

*共享办公wi-fi接入设备（跳板源）：wi-fi接入日志+加密连接至跳板ip段

*影子主控操作终端：仓库后台会话设备指纹+两次密钥更新行为

*云盘发行中枢登录终端：目录删除会话+凌晨派发模式特征

*批量拨号池终端（回访恐吓）：号段识别+呼叫频次模式

周工说：“设备是抓手也是防撤。动作要快，让他们来不及换终端。”

###四、地点（线下落点）

*共享办公点：门禁人脸+夜间出入规律+wi-fi日志

*会务活动酒店商务中心：预订记录+主办方资质核验

*可能的临时现金收取点：会务协调员供述+活动路线

护士长补充：“地点这块要注意隐私边界。公众只需要知道‘不要去收费说明会’，不需要知道具体在哪里。”

纪检联络员点头：“对外不透露地点细节。”

###五、系统（可拆解组件）

*仓库（新api回调指挥中心）：镜像快照+回调任务队列表+操作日志表

*发行中枢（脚本素材云盘）：访问记录+sop版本标记+目录结构

*聚合支付闸门：接口日志+频控放宽记录+异常退款集群

*会务培训sop体系：文档骨架+脚本模板小字标记+规避策略条款

*数据分类洗白路径：材料→素材批量改名操作日志

“系统组件才是核心。”周工说，“把组件拆掉，他们就算人还在，也做不成规模化。”

系统提示闪动：

清单成型：五维坐标，每项≥两类证据支撑

核心：拆系统组件（仓库发行闸门sop数据洗白路径）