Процесс Firefox имеет длинный список аргументов, выглядит подозрительно [dубликат]

Не отчаивайтесь со сценариями или файлами конфигурации, у которых есть возможность сделать ваш экран входа непригодным!

Вместо этого войдите в систему и установите предпочтительные настройки экрана *, затем запустите эту команду:

sudo ln ~/.config/monitors.xml /var/lib/lightdm/.config/monitors.xml

Ваше разрешение для входа теперь будет всегда соответствовать настройкам пользователя, с которым вы в настоящее время вошли.

* Не забудьте нажать «Применить»

5
задан 3 November 2017 в 12:57

6 ответов

Недавние версии Firefox запускают многопроцессорный процесс вместо одного процесса.

О multi-process

Многопроцессор применим ко всем пользователям Firefox, поскольку Firefox 54 был дебютировал в июне 2017 года. Документация Multiprocess Firefox описывает, что Firefox запускает пользовательский интерфейс браузера в отдельном процессе из веб-контента. В результате пользователи могут увидеть «подозрительный подпроцесс» в списке процессов.

Многие конечные пользователи, похоже, обеспокоены загадочной частью подпроцесса, как поднято в Firefox 54 был дебютирован в июне 2017 и эту тему в разделе поддержки Mozilla;

О multi-process

Для меня это выглядит как эксплойт / вредоносное ПО (Является ли подпроцесс злым?)

Нет, последние версии поведения Firefox похожи на это.

Для меня это выглядит как эксплойт / вредоносное ПО (Является ли подпроцесс злым?)

Или, по крайней мере, есть что скрывать (есть что-то скрывать?)

Нет, нет ничего скрытого. Конечные пользователи могут видеть иначе, чем видят разработчики. Очень мало пользователей, возможно, заметили, что в этом процессе нечего скрывать.

Как можно быть уверенным

Тот факт, что разработчики не удосуживаются объяснить детали подпроцесса, причина, по которой мы можем быть уверены, что это не злонамеренно. По крайней мере, я не нашел таких подробностей к этой дате. Этот частичный ответ ТТ Фаррео в Stack Overflow в конце 2017 года намекнул, что загадочная часть подпроцесса связана со списком черных списков Mozilla. [...] Список странных выглядящих символов, по-видимому, соответствует черным спискам, перечисленным в http://kb.mozillazine.org/Network.IDN.blacklist_chars [...]

Есть две причины, по которым мы можем быть уверены:

См. эти символы фракции? Проверено. См. Эти двоичные символы блока? Проверено. Смотрите эти невидимые пространства? Проверено. Посмотрите на хрустящую единицу радианской штуковины? Проверено. См. Знак вопроса в черном алмазном символе? Проверено.

Теперь мы можем понять странные символы:

Ответ в Stack Overflow также включал ссылку на исходный код процесса контента, используемый Firefox. Конечные пользователи обычно не будут погружаться в эту деталь, поэтому этот ответ в Ask Ubuntu будет достаточно хорош, как есть.

2
ответ дан 18 July 2018 в 01:26

Я заметил то же самое вчера вечером, и начал изучать его с помощью xxd. Мое лучшее предположение заключалось в том, что это способ передачи указателей на разделяемые ресурсы или идентификация самих себя (смежные виртуальные местоположения и постоянная длина могут вызвать периодичность), но некоторые вещи меня убедили иначе.

c783 cb90 3f3f d689 d68a d783 d7b4 d889 d88a d9aa db94 dc81 dc82 dc83 dc84 e185 9fe1 85a0 e19c b5e2 8080 e280 81e2 8082 e280 83e2 8084 e280 85e2 8086 e280 87e2 8088 e280 89e2 808a 3f3f 3fe2 8090 e280 99e2 80a4 e280 a73f 3f3f 3f3f 3f3f e280 afe2 80b9 e280 bae2 8181 e281 84e2 8192 e281 9fe2 8593 e285 94e2 8595 e285 96e2 8597 e285 98e2 8599 e285 9a3f e285 9ce2 859d e285 9ee2 859f e288 95e2 88b6 e28e aee2 95b1 e2a7 b6e2 a7b8 e2ab bbe2 abbd e2bf b0e2 bfb1 e2bf b2e2 bfb3 e2bf b4e2 bfb5 e2bf b6e2 bfb7 e2bf b8e2 bfb9 e2bf bae2 bfbb e380 80e3 8082 e380 94e3 8095 e380 b3e3 82a0 e385 a4e3 889d e388 9ee3 8eae e38e afe3 8f86 e38f 9fea 9e89 efb8 94ef b895 efb8 bfef b99d efb9 9e3f efbc 8eef bc8f efbd a1ef bea0 3f3f 3fef bfbc efbf bd0a

I (и оставил его, 0a, в конце.) Я выровнял его на основе только повторения, это 12 байт на строку до частичной 25-й строки. Причина, по которой я отложил байты так, как я делал, - показать, что есть (что похоже) продолжения UTF8 (таблица внизу). Однако стоит упомянуть, что в соответствии с соглашением установленной и известной кодировки то же преимущество: вы можете представлять большие значения, но небольшие компактные. С другой стороны, по какой-то причине они, кажется, строятся вместе ? и только байты больше 80. Следующий раздел этой страницы Википедии показывает, что в этом диапазоне есть печатные символы, но все меньше и меньше. Я не верю, что цель имела какое-то отношение к составлению очень широких символов UTF8, но вместо этого, как будто они избегали более универсально печатаемых символов в наборе ASCII. На этом этапе я могу придумать, что они должны были бы кодировать и вставлять строки произвольной длины, а именно «stringPrefs», и, возможно, предпочитали использовать высокие байты, зажатые на низких байтах, только что облегчили извлечение. Насколько я могу судить, ? служат как разделителями, так и дополнением.

Я не удовлетворен, но мне нечего предложить. В свою пользу я начал заменять наиболее распространенные символы, и немного легче понять, что происходит:

c783 cb90 d689 d68a d783 d7b4 d889 d88a d9aa db94 dc81 dc82 dc83 dc84 e185 9fe1 85a0 e19c b5++ ---- ++-- 81++ --82 ++-- 83++ --84 ++-- 85++ --86 ++-- 87++ --88 ++-- 89++ --8a ++ --90 ++-- 99++ --a4 ++-- a7 ++-- af++ --b9 ++-- ba++ 8181 ++81 84++ 8192 ++81 9f++ 8593 ++85 94++ 8595 ++85 96++ 8597 ++85 98++ 8599 ++85 9a ++85 9c++ 859d ++85 9e++ 859f ++88 95++ 88b6 ++8e ae++ 95b1 ++a7 b6++ a7b8 ++ab bb++ abbd ++bf b0++ bfb1 ++bf b2++ bfb3 ++bf b4++ bfb5 ++bf b6++ bfb7 ++bf b8++ bfb9 ++bf ba++ bfbb e3-- --e3 --82 e3-- 94e3 --95 e3-- b3e3 82a0 e385 a4e3 889d e388 9ee3 8eae e38e afe3 8f86 e38f 9fea 9e89 efb8 94ef b895 efb8 bfef b99d efb9 9e efbc 8eef bc8f efbd a1ef bea0 ef bfbc efbf bd0a

Я вижу гораздо больше структуры, чем я мог ожидать от зашифрованных и закодированных строк, если только это своего рода стеганография. Если кто-то может взять эстафету, я был бы благодарен, и не только потому, что мне любопытно, - я хотел бы узнать раньше, чем позже, если что-нибудь будет скрываться там.

0
ответ дан 18 July 2018 в 01:26

Это связано с многопроцессорной функцией Firefox, перейдите по следующей официальной ссылке.

https://support.mozilla.org/en-US/questions/1147868#answer-938004

На этом есть много других потоков Linux, с тем же результатом, что и вы опубликовали , все связанные с многопроцессорной функцией Firefox.

5
ответ дан 18 July 2018 в 01:26

Недавние версии Firefox запускают многопроцессорный процесс вместо одного процесса.

О multi-process

Многопроцессор применим ко всем пользователям Firefox, поскольку Firefox 54 был дебютировал в июне 2017 года. Документация Multiprocess Firefox описывает, что Firefox запускает пользовательский интерфейс браузера в отдельном процессе из веб-контента. В результате пользователи могут увидеть «подозрительный подпроцесс» в списке процессов.

Многие конечные пользователи, похоже, обеспокоены загадочной частью подпроцесса, как поднято в Firefox 54 был дебютирован в июне 2017 и эту тему в разделе поддержки Mozilla;

О multi-process

Для меня это выглядит как эксплойт / вредоносное ПО (Является ли подпроцесс злым?)

Нет, последние версии поведения Firefox похожи на это.

Для меня это выглядит как эксплойт / вредоносное ПО (Является ли подпроцесс злым?)

Или, по крайней мере, есть что скрывать (есть что-то скрывать?)

Нет, нет ничего скрытого. Конечные пользователи могут видеть иначе, чем видят разработчики. Очень мало пользователей, возможно, заметили, что в этом процессе нечего скрывать.

Как можно быть уверенным

Тот факт, что разработчики не удосуживаются объяснить детали подпроцесса, причина, по которой мы можем быть уверены, что это не злонамеренно. По крайней мере, я не нашел таких подробностей к этой дате. Этот частичный ответ ТТ Фаррео в Stack Overflow в конце 2017 года намекнул, что загадочная часть подпроцесса связана со списком черных списков Mozilla. [...] Список странных выглядящих символов, по-видимому, соответствует черным спискам, перечисленным в http://kb.mozillazine.org/Network.IDN.blacklist_chars [...]

Есть две причины, по которым мы можем быть уверены:

См. эти символы фракции? Проверено. См. Эти двоичные символы блока? Проверено. Смотрите эти невидимые пространства? Проверено. Посмотрите на хрустящую единицу радианской штуковины? Проверено. См. Знак вопроса в черном алмазном символе? Проверено.

Теперь мы можем понять странные символы:

Ответ в Stack Overflow также включал ссылку на исходный код процесса контента, используемый Firefox. Конечные пользователи обычно не будут погружаться в эту деталь, поэтому этот ответ в Ask Ubuntu будет достаточно хорош, как есть.

2
ответ дан 24 July 2018 в 17:23

Я заметил то же самое вчера вечером, и начал изучать его с помощью xxd. Мое лучшее предположение заключалось в том, что это способ передачи указателей на общие ресурсы или их идентификация (смежные виртуальные местоположения и постоянная длина могут вызвать периодичность), но некоторые вещи меня убедили иначе.

c783 cb90 3f3f d689 d68a d783 d7b4 d889 d88a d9aa db94 dc81 dc82 dc83 dc84 e185 9fe1 85a0 e19c b5e2 8080 e280 81e2 8082 e280 83e2 8084 e280 85e2 8086 e280 87e2 8088 e280 89e2 808a 3f3f 3fe2 8090 e280 99e2 80a4 e280 a73f 3f3f 3f3f 3f3f e280 afe2 80b9 e280 bae2 8181 e281 84e2 8192 e281 9fe2 8593 e285 94e2 8595 e285 96e2 8597 e285 98e2 8599 e285 9a3f e285 9ce2 859d e285 9ee2 859f e288 95e2 88b6 e28e aee2 95b1 e2a7 b6e2 a7b8 e2ab bbe2 abbd e2bf b0e2 bfb1 e2bf b2e2 bfb3 e2bf b4e2 bfb5 e2bf b6e2 bfb7 e2bf b8e2 bfb9 e2bf bae2 bfbb e380 80e3 8082 e380 94e3 8095 e380 b3e3 82a0 e385 a4e3 889d e388 9ee3 8eae e38e afe3 8f86 e38f 9fea 9e89 efb8 94ef b895 efb8 bfef b99d efb9 9e3f efbc 8eef bc8f efbd a1ef bea0 3f3f 3fef bfbc efbf bd0a

I (и оставил его, 0a, в конце.) Я выровнял его на основе только повторения, это 12 байт на строку до частичной 25-й строки. Причина, по которой я отложил байты так, как я делал, - показать, что есть (что похоже) продолжения UTF8 (таблица внизу). Однако стоит упомянуть, что в соответствии с соглашением установленной и известной кодировки то же преимущество: вы можете представлять большие значения, но небольшие компактные. С другой стороны, по какой-то причине они, кажется, строятся вместе ? и только байты больше 80. Следующий раздел этой страницы Википедии показывает, что в этом диапазоне есть печатные символы, но все меньше и меньше. Я не верю, что цель имела какое-то отношение к составлению очень широких символов UTF8, но вместо этого, как будто они избегали более универсально печатаемых символов в наборе ASCII. На этом этапе я могу придумать, что они должны были бы кодировать и вставлять строки произвольной длины, а именно «stringPrefs», и, возможно, предпочитали использовать высокие байты, зажатые на низких байтах, только что облегчили извлечение. Насколько я могу судить, ? служат как разделителями, так и дополнением.

Я не удовлетворен, но мне нечего предложить. В свою пользу я начал заменять наиболее распространенные символы, и немного легче понять, что происходит:

c783 cb90 d689 d68a d783 d7b4 d889 d88a d9aa db94 dc81 dc82 dc83 dc84 e185 9fe1 85a0 e19c b5++ ---- ++-- 81++ --82 ++-- 83++ --84 ++-- 85++ --86 ++-- 87++ --88 ++-- 89++ --8a ++ --90 ++-- 99++ --a4 ++-- a7 ++-- af++ --b9 ++-- ba++ 8181 ++81 84++ 8192 ++81 9f++ 8593 ++85 94++ 8595 ++85 96++ 8597 ++85 98++ 8599 ++85 9a ++85 9c++ 859d ++85 9e++ 859f ++88 95++ 88b6 ++8e ae++ 95b1 ++a7 b6++ a7b8 ++ab bb++ abbd ++bf b0++ bfb1 ++bf b2++ bfb3 ++bf b4++ bfb5 ++bf b6++ bfb7 ++bf b8++ bfb9 ++bf ba++ bfbb e3-- --e3 --82 e3-- 94e3 --95 e3-- b3e3 82a0 e385 a4e3 889d e388 9ee3 8eae e38e afe3 8f86 e38f 9fea 9e89 efb8 94ef b895 efb8 bfef b99d efb9 9e efbc 8eef bc8f efbd a1ef bea0 ef bfbc efbf bd0a

Я вижу гораздо больше структуры, чем я мог ожидать от зашифрованных и закодированных строк, если только это своего рода стеганография. Если кто-то может взять эстафету, я был бы благодарен, и не только потому, что мне любопытно, - я хотел бы узнать раньше, чем позже, если что-нибудь будет скрываться там.

0
ответ дан 24 July 2018 в 17:23
  • 1
    Если OP спрашивает, является ли параметр командной строки firefox нормальным или нет, вопрос, похоже, уже дан ответ. Каков ожидаемый ответ здесь ...? – clearkimura 28 January 2018 в 21:47
  • 2
    На этот вопрос частично отвечает. Это было установлено с большой вероятностью, что это не злонамеренно. Но непонятно, почему параметр кодируется таким странным образом. Возможно, кто-то из Mozilla мог бы предоставить полезную обратную связь – Piotr 30 January 2018 в 18:34
  • 3
    @ Светлячок-поддержка – Piotr 30 January 2018 в 18:39
  • 4
    @Piotr Можете ли вы отредактировать вопрос, чтобы упомянуть, что вы все еще ищете лучший ответ? Потому что я нашел, что название «оказалось законным ...». и ваш комментарий THX. Вот и все! & Quot; под первым ответом, казалось, указывало, что вы уже нашли ответ. – clearkimura 1 February 2018 в 20:01

Это связано с многопроцессорной функцией Firefox, перейдите по следующей официальной ссылке.

https://support.mozilla.org/en-US/questions/1147868#answer-938004

На этом есть много других потоков Linux, с тем же результатом, что и вы опубликовали , все связанные с многопроцессорной функцией Firefox.

5
ответ дан 24 July 2018 в 17:23
  • 1
    СПАСИБО. Это оно! Моя первоначальная проблема была связана с двоичными строками в командной строке. Это привлекло мое внимание и побудило меня исследовать это ближе и проконсультироваться с сообществом. Большинство законных применений не используют такую ​​обфускацию, поэтому я рассматривал заражение вредоносными программами. – Piotr 3 November 2017 в 12:35

Другие вопросы по тегам:

Похожие вопросы: