我正在尝试分析互联网上的一个恶意软件。我发现,nemo浏览器和ls命令以不同的方式显示恶意软件的文件名。ls显示文件名IMG147pgj.exe,IMG148pgj.exe,IMG149pgj.exe而nemo显示相同的文件IMG147exe.jpg,IMG148exe.jpg,IMG149exe.jpg(这些文件实际上是 WIN32 可执行文件):
为什么会这样?这怎么可能呢?
EDIT1:结果
ls | od -c和ls -q要求一致。
答案1
您看到的字节(342 200 256 或十六进制的 E280AE)在 utf8 中解码为 Unicode 0x202E,这是从右到左的覆盖。从那时起,Nemo 反转所有字符,导致 gpj.exe 变为 exe.jpg,而您的终端则不会。
类似地,Windows 资源管理器会将其反转,但仍会读取扩展名而不反转它,从而导致执行看似 jpg 的文件。
搜索 RLO 将显示它是一种已知的恶意软件技术。