肖远对god的系统日志仔细分析了一番，每一条日志单独來看，都属于正常的操作记录，并沒有什么异常，但是将最后的几条日志联合起來观察，肖远还是从中发现了一些异常地方，那就是最后几十条日志的间隔时间越來越小，也就是说，god在这一段时间里，操作的频率越來越高，甚至到了最后四条日志，时间竟然都是03:12:31，这并不是说这四条日志记录的操作是同一时间进行的，因为肖远设定的日志记录间隔是以秒为单位的，一秒之内出现四条日志，说明有四个操作是在一秒钟之内发出去的，

盯着电脑屏幕上的日志，肖远眉头紧锁着，思考片刻后问了问实验室里的管理员，确认了自己离开这段时间，电脑沒有人动，进而排除了外界干扰的可能性，最后他把内存采样文件调了出來，

内存采样的指的是，每隔一定的时间，就将god开辟的世界内存空间的信息原封不动的克隆下來，存到一个文件中，肖远在实现这个功能的时候，并沒有完全依赖god程序，而是从操作系统层级來完成的，之所以这么做，就是考虑到god程序万一要是出现状况失灵了，他还有最后的追查手段，不至于无计可施，

内存采样文件是一个以十六进制形式存储的文件，肖远将之打开后，仍然是从文件最后开始查看，最后记录下來的内存数据的时间是一分钟前，从这个时间來看，内存采样的工作仍然是正常的，并沒有出现太大的问題，

内存数据有好几个G，因此分析的工作量非常大，即使是利用分析工具辅助，也是一件极考验人的耐心和经验的工作，如果沒有合适的工具，

为了尽快找到结论，肖远对整个分析过程进行了一番规划，分成了三个阶段，

他首先利用工具，从内存采样文件末端向前，倒序截取了一百个采样样本，对这些数据进行对比分析，分析结果表明，这一百个内存采样数据