RedStar OS是朝鲜号称自主研发的国产操作系统，当然谁都知道它是在Linux基础上整编而来的，更适合朝鲜国情，但如果你以为朝鲜只是简单地换个皮肤、预装些软件，那就太低估他们了。

有人研究后发现，RedStar红星系统有一个自己的内核模块“rtscan”，运行着opprc等多个二进制文件，会把自己模拟伪装成某种病毒扫描进程(scnprc)，并共享代码。

首先值得关注的一个功能叫做“gpsWatermarkingInformation”，还有其他很多类似的，明显都是获取信息用的。

从名字上就可以看出，gpsWatermarkingInformation是某种水印功能，可以自动为文档、图像甚至音频添加水印。

研究人员创建了一个简单的Docx Word文档，拷贝到U盘里，插入红星系统主机，不作任何操作，然后拔出来。

你猜怎么着？文件的MD5校验值居然变了！

使用十六进制编辑器打开原始文档，可以发现开头部分有大量空白字节，这是Word文件的初始共性，而再次打开被改变的文档并对比，可见同一区域被插入了一堆垃圾数据，就是传说中的水印。

该水印从offset 80开始，占据了32个字节，结束字符串为EOF。

目前还不确认这个水印的具体内容，但似乎是从系统主机提取的相关数据，具有设备唯一性，因而能够用来鉴别身份。

另外，红星系统似乎还能追踪什么文件被打开过，细思恐极啊！