写字楼文件失窃案的二次排查陷入僵局时，夏天正对着陈默的审讯记录发愁。

虽然陈默承认了偷偷拷贝文件的行为，但关于U盘丢失的细节，始终缺乏直接证据——地铁监控因角度问题，未能拍到U盘掉落的瞬间，也无法确认是否被张明捡到。

就在这时，手机里的侦探交流群突然弹出一条消息，是柯南发来的，还附带一个“放大镜找线索”的卡通表情：“群主叔叔！既然陈默说把文件存在了U盘里，那可以检查李然经理电脑的USB接口使用记录呀！每插入一个U盘，电脑都会留下设备识别记录，包括插入时间、U盘的设备ID，说不定能找到陈默插入U盘的记录，还能确认有没有其他陌生U盘插入过！”

夏天眼前一亮，他此前只关注了电脑的远程连接记录，却忽略了最基础的USB接口使用痕迹。

他立刻拿起对讲机，呼叫技术人员：“立刻返回‘创科未来’公司，重点检查李然电脑的USB接口使用日志，提取所有设备插入记录，尤其是案发前后24小时内的！”

技术人员迅速赶回现场，将李然的电脑接入专业设备，开始读取USB接口的使用日志。

半小时后，技术人员传来消息：“夏警官，有重大发现！在案发前1小时，也就是昨晚10点，李然的电脑有过一次陌生U盘插入记录，设备ID显示为某品牌普通U盘，不是李然常用的办公U盘；

更关键的是，在昨晚8点15分，还有另一个U盘插入过，设备ID我们查了，是公司实习生陈默领用的办公U盘！”

“两个U盘？”夏天心里一动，立刻让技术人员将两个U盘的设备ID和插入时间整理成表格。

表格显示：陈默的U盘插入时间为昨晚8点15分，正是他加班协助李然整理资料的时段，插入时长约10分钟；陌生U盘插入时间为昨晚10点，插入时长5分钟，期间有文件读取和写入的操作记录，与张明远程连接电脑的时间高度吻合。

“这就对了！”夏天激动地拍了下桌子，“陈默在8点15分用自己的U盘拷贝了文件，10点时，有人用陌生U盘插入电脑，很可能是张明在获取陈默丢失的U盘后，先通过U盘读取电脑信息，再植入远程控制程序！”

他立刻将这一发现同步到群里，柯南很快回复：“太好了！那可以通过陈默U盘的设备ID，查一下他最近的使用记录呀！比如在哪些电脑上插入过，有没有备份文件，说不定能找到更多线索～”

夏天立刻安排技术人员追踪陈默U盘的使用痕迹。通过调取公司内部网络日志和陈默个人设备的连接记录，技术人员发现，陈默的U盘在最近一周内，除了插入过李然的电脑，还多次插入过自己的笔记本电脑和公司的公共打印机。

“我们在陈默的笔记本电脑里，找到了‘星轨’项目计划书的备份文件，创建时间正是昨晚8点30分，和他拷贝文件的时间吻合！”技术人员的声音带着兴奋。