RedStar OS是朝鮮號稱自主研發(fā)的國產(chǎn)操作系統(tǒng)，當(dāng)然誰都知道它是在Linux基礎(chǔ)上整編而來的，更適合朝鮮國情，但如果你以為朝鮮只是簡單地?fù)Q個皮膚、預(yù)裝些軟件，那就太低估他們了。

[[141686]]

有人研究后發(fā)現(xiàn)，RedStar紅星系統(tǒng)有一個自己的內(nèi)核模塊“rtscan”，運行著opprc等多個二進(jìn)制文件，會把自己模擬偽裝成某種病毒掃描進(jìn)程(scnprc)，并共享代碼。

首先值得關(guān)注的一個功能叫做“gpsWatermarkingInformation”，還有其他很多類似的，明顯都是獲取信息用的。

從名字上就可以看出，gpsWatermarkingInformation是某種水印功能，可以自動為文檔、圖像甚至音頻添加水印。

研究人員創(chuàng)建了一個簡單的Docx Word文檔，拷貝到U盤里，插入紅星系統(tǒng)主機(jī)，不作任何操作，然后拔出來。

你猜怎么著？文件的MD5校驗值居然變了！

使用十六進(jìn)制編輯器打開原始文檔，可以發(fā)現(xiàn)開頭部分有大量空白字節(jié)，這是Word文件的初始共性，而再次打開被改變的文檔并對比，可見同一區(qū)域被插入了一堆垃圾數(shù)據(jù)，就是傳說中的水印。

該水印從offset 80開始，占據(jù)了32個字節(jié)，結(jié)束字符串為EOF。

#p#

目前還不確認(rèn)這個水印的具體內(nèi)容，但似乎是從系統(tǒng)主機(jī)提取的相關(guān)數(shù)據(jù)，具有設(shè)備唯一性，因而能夠用來鑒別身份。

另外，紅星系統(tǒng)似乎還能追蹤什么文件被打開過，細(xì)思恐極啊！