nemo и ls показывают разные имена файлов

359
burtek

Я пытаюсь проанализировать кусок вредоносного ПО из Интернета. Я обнаружил, что nemoбраузер и lsкоманда по-разному отображают имя файла вредоносной программы. lsПотазывает имена файлов IMG147pgj.exe, IMG148pgj.exe, IMG149pgj.exe, в то время как nemoпоказывают одни и те же файлы, как IMG147exe.jpg, IMG148exe.jpg, IMG149exe.jpg(эти файлы находятся в том, WIN32 executibles):

пример

Почему это и как это возможно?

РЕДАКТИРОВАТЬ1: Результаты ls | od -cи ls -qв соответствии с просьбой.

Запрос

0
Возможно ли, что в конце названия есть «необычные» символы? Если да, скажите `ls IMG147 * | od -c` или что-то в этом роде вы можете увидеть дополнительные символы? или попробуйте `ls -q` или` ls -Q`, если ваш `ls` поддерживает это, посмотрите, есть ли в имени управляющие символы или что-то в этом роде Eric Renouf 6 лет назад 0
@EricRenouf Я добавил скриншот результатов этих команд в вопрос. Я вижу, что есть коды `342 200 256` - что они означают? burtek 6 лет назад 0
Я недостаточно разбираюсь в юникоде, но думаю, что `342`,` 200` и ​​`256`, вероятно, являются кодовыми точками юникода, которые по-разному обрабатываются` ls` и nemo Eric Renouf 6 лет назад 0

1 ответ на вопрос

1
user2313067

Используемые байты (342 200 256 или E280AE в шестнадцатеричном формате) декодируются в utf8 как Unicode 0x202E, что является переопределением справа налево. После этого Nemo меняет местами все символы, в результате чего gpj.exe становится exe.jpg, а ваш терминал - нет.

Аналогично, проводник Windows изменил бы его, но все равно прочитал расширение, не обращая его, что привело к выполнению файла, который выглядит как jpg.

Поиск RLO покажет вам, что это известная техника вредоносного ПО.

Похожие вопросы