nemo 和 ls 显示不同的文件名

nemo 和 ls 显示不同的文件名

我正在尝试分析互联网上的一个恶意软件。我发现,nemo浏览器和ls命令以不同的方式显示恶意软件的文件名。ls显示文件名IMG147pgj.exeIMG148pgj.exeIMG149pgj.exenemo显示相同的文件IMG147exe.jpgIMG148exe.jpgIMG149exe.jpg(这些文件实际上是 WIN32 可执行文件):

例子

为什么会这样?这怎么可能呢?


EDIT1:结果ls | od -cls -q要求一致。

要求

答案1

您看到的字节(342 200 256 或十六进制的 E280AE)在 utf8 中解码为 Unicode 0x202E,这是从右到左的覆盖。从那时起,Nemo 反转所有字符,导致 gpj.exe 变为 exe.jpg,而您的终端则不会。

类似地,Windows 资源管理器会将其反转,但仍会读取扩展名而不反转它,从而导致执行看似 jpg 的文件。

搜索 RLO 将显示它是一种已知的恶意软件技术。

相关内容