RedStar OS是朝鮮號(hào)稱自主研發(fā)的國(guó)產(chǎn)操作系統(tǒng)，當(dāng)然誰(shuí)都知道它是在Linux基礎(chǔ)上整編而來的，更適合朝鮮國(guó)情。有人研究后發(fā)現(xiàn)，RedStar紅星系統(tǒng)有一個(gè)自己的內(nèi)核模塊“rtscan”，運(yùn)行著opprc等多個(gè)二進(jìn)制文件，會(huì)把自己模擬偽裝成某種病毒掃描進(jìn)程(scnprc)，并共享代碼。

RedStar OS是朝鮮號(hào)稱自主研發(fā)的國(guó)產(chǎn)操作系統(tǒng)，當(dāng)然誰(shuí)都知道它是在Linux基礎(chǔ)上整編而來的，更適合朝鮮國(guó)情，但如果你以為朝鮮只是簡(jiǎn)單地?fù)Q個(gè)皮膚、預(yù)裝些軟件，那就太低估他們了。

有人研究后發(fā)現(xiàn)，RedStar紅星系統(tǒng)有一個(gè)自己的內(nèi)核模塊“rtscan”，運(yùn)行著opprc等多個(gè)二進(jìn)制文件，會(huì)把自己模擬偽裝成某種病毒掃描進(jìn)程(scnprc)，并共享代碼。

首先值得關(guān)注的一個(gè)功能叫做“gpsWatermarkingInformation”，還有其他很多類似的，明顯都是獲取信息用的。

從名字上就可以看出，gpsWatermarkingInformation是某種水印功能，可以自動(dòng)為文檔、圖像甚至音頻添加水印。

研究人員創(chuàng)建了一個(gè)簡(jiǎn)單的Docx Word文檔，拷貝到U盤里，插入紅星系統(tǒng)主機(jī)，不作任何操作，然后拔出來。

你猜怎么著？文件的MD5校驗(yàn)值居然變了！

使用十六進(jìn)制編輯器打開原始文檔，可以發(fā)現(xiàn)開頭部分有大量空白字節(jié)，這是Word文件的初始共性，而再次打開被改變的文檔并對(duì)比，可見同一區(qū)域被插入了一堆垃圾數(shù)據(jù)，就是傳說中的水印。

該水印從offset 80開始，占據(jù)了32個(gè)字節(jié)，結(jié)束字符串為EOF。

RedStar OS是朝鮮號(hào)稱自主研發(fā)的國(guó)產(chǎn)操作系統(tǒng)，當(dāng)然誰(shuí)都知道它是在Linux基礎(chǔ)上整編而來的，更適合朝鮮國(guó)情。有人研究后發(fā)現(xiàn)，RedStar紅星系統(tǒng)有一個(gè)自己的內(nèi)核模塊“rtscan”，運(yùn)行著opprc等多個(gè)二進(jìn)制文件，會(huì)把自己模擬偽裝成某種病毒掃描進(jìn)程(scnprc)，并共享代碼。

目前還不確認(rèn)這個(gè)水印的具體內(nèi)容，但似乎是從系統(tǒng)主機(jī)提取的相關(guān)數(shù)據(jù)，具有設(shè)備唯一性，因而能夠用來鑒別身份。

另外，紅星系統(tǒng)似乎還能追蹤什么文件被打開過，細(xì)思恐極啊！