nemo und ls zeigen unterschiedliche Dateinamen

473
burtek

Ich versuche, eine Malware aus dem Internet zu analysieren. Ich fand heraus, dass der nemoBrowser und der lsBefehl den Dateinamen der Malware auf unterschiedliche Weise anzeigen. lsdisplayes Dateinamen IMG147pgj.exe, IMG148pgj.exe, IMG149pgj.exe, während nemodie gleichen Dateien zeigt, wie IMG147exe.jpg, IMG148exe.jpg, IMG149exe.jpg(diese Dateien in der Tat WIN32 executibles sind):

Beispiel

Warum ist das und wie ist das möglich?

EDIT1: Ergebnisse ls | od -cund ls -qwie gewünscht.

Anfordern

0
Ist es möglich, dass am Ende des Namens "ungewöhnliche" Zeichen stehen? Wenn ja, sagen Sie `ls IMG147 * | od -c` oder so ähnlich können Sie zusätzliche Zeichen sehen? oder versuchen Sie `ls -q` oder` ls -Q`, wenn Ihr `ls` dies unterstützt, und prüfen Sie, ob der Name Steuerzeichen oder ähnliches enthält Eric Renouf vor 7 Jahren 0
@EricRenouf Ich habe der Frage einen Screenshot der Ergebnisse dieser Befehle hinzugefügt. Ich kann sehen, dass es die Codes 342 200 256 gibt - was bedeuten sie? burtek vor 7 Jahren 0
Ich bin nicht in Sachen Unicode genug, aber ich denke, `342`,` 200` und `256` sind wahrscheinlich die Unicode-Codepunkte, die von` ls` und von nemo unterschiedlich behandelt werden Eric Renouf vor 7 Jahren 0

1 Antwort auf die Frage

1
user2313067

Die Bytes, die Sie verwenden, sind (342 200 256 oder E280AE in Hex). Sie werden in utf8 als Unicode 0x202E dekodiert. Hierbei handelt es sich um die Überschreibung von rechts nach links. Nemo kehrt von da an alle Zeichen um, die gpj.exe führen, um zu exe.jpg zu werden, während Ihr Terminal dies nicht tut.

In ähnlicher Weise würde der Windows-Explorer sie umkehren, aber die Erweiterung immer noch lesen, ohne sie umzukehren, was dazu führt, dass ein scheinbar jpg ausgeführt wird.

Wenn Sie nach RLO suchen, wird Ihnen angezeigt, dass es sich um eine bekannte Malware-Technik handelt.

Verwandte Probleme