Windows系统里有个字符串,出现频率高到离谱,却没人知道它在干嘛。UVWATAUAVAWH——这串看起来像键盘乱敲的字符,在64位Windows的.exe、.dll、.sys文件里遍地都是。有人怀疑它是蓝屏死机的罪魁祸首,有人猜它是ZeroAccess木马组织的接头暗号。
真相比阴谋论无聊一百倍,又精妙一百倍。
把UVWATAUAVAWH转成十六进制,得到55 56 57 41 54 41 55 41 56 41 57 48。这不是密码,是CPU能直接执行的机器指令。拆解后变成一串push操作:U推rbp、V推rsi、W推rdi、AT推r12、AU推r13、AV推r14、AW推r15,最后的H是sub rsp指令的一部分。
这是x64函数的标准开场白。每个函数被调用时,都要先把关键寄存器存到栈里,办完事再恢复。UVWATAUAVAWH就是这段"存档操作"的连续指令流,被编译器生成、被链接器写进二进制、被无数开发者无意识复制。
它的变体多达21种。SUVWATAUAVAWH多了个S(push rbx),WATAUH少了后半截,VWATAUAVH把W和最后H砍了。这些排列组合取决于函数需要保护哪些寄存器——就像搬家时你决定哪些家具先打包,哪些直接扔车上。
作者提到一个有趣的类比:这种"元音化"特征让人想起那篇著名论文——《看起来像英文文本的shellcode》。研究人员发现,精心构造的机器指令可以伪装成可读文字,骗过基于字符串特征的安全检测。UVWATAUAVAWH本身不是恶意代码,但它恰好站在那个模糊的边界上:对人类毫无意义,对机器是日常呼吸。
Google这串字符,你会看到十年前的论坛帖子、Reddit的猎奇帖、安全博客的猜测。信息熵的吊诡之处:最高频出现的模式,反而最容易被怀疑。
编译器默默生成它,反汇编工具默默识别它,杀毒软件默默放行它。十二年过去,这串字符依然躺在你的系统32目录里,每隔几秒被执行一次。你从未感知它的存在,就像从未感知心跳——直到有人把它单拎出来,问你:这到底是什么?
所以下次看到莫名其妙的字符串,先别急着截图发朋友圈。它可能只是一段函数在伸懒腰。
热门跟贴