Jak ten złowieszczy plik trafił do mojego folderu wsparcia aplikacji?

26

Usunięcie tego pliku spowoduje uszkodzenie całych sieci, ze względu na nasze dzieci, nie rób tego!

Powyższy cytat jest zawartością pliku tekstowego o nazwie STR8369805638PUB6932583035105, który znalazłem dzisiaj przeglądając ~/Library/Application Supportza pomocą terminala.

Znalazłem wątek na forach Apple, że ktoś ma dokładnie ten sam problem. Jest także omawiany na niemieckim forum .

Plik nie jest widoczny za pomocą Findera, odkryłem go, ponieważ zrobiłem już trochę lsczasu ~/Library/Application Support.

Tak wygląda plik w edytorze binarnym, jedyną dziwną rzeczą może być to, że plik kończy się na CR (0D), chociaż jest dość nowy (został stworzony w październiku):

Widok edytora binarnego

Czy ktoś ma pojęcie, skąd ten plik może pochodzić?

terminal finder file Trasplazio Garzuglio
źródło
5
Skasowałbym to gdybym był tobą.
Emil
4
Czy po raz pierwszy zainstalowałeś lub uruchomiłeś jakąś konkretną aplikację w październiku? Jedna teoria: plik może być plikiem wartownika dla używanego programu. Na przykład, jeśli masz ograniczoną czasowo wersję demonstracyjną jakiegoś oprogramowania, programiści takich narzędzi często potrzebują miejsca (i jednego dobrze ukrytego!) Do przechowywania daty pierwszego uruchomienia programu, aby wiedzieć, kiedy skończy się okres próbny, kiedy aby nakłonić Cię do rejestracji, kiedy wyłączyć funkcję, jeśli się nie zarejestrowałeś itp. Data w tym pliku może być ważnym punktem odniesienia, a zawartość żartem.
Chris W. Rea
Hee hee - mam nadzieję, że jakiś programista ma poczucie humoru.
bmike
@mike tak, spodziewam się, nadal chciałbym wiedzieć, czy ktoś ma ten sam plik.
Trasplazio Garzuglio
4
Jeśli jesteś programistą, możesz użyć dtrace, aby dowiedzieć się, kto ma dostęp do tego pliku. Jeśli nie znasz dtrace, jest to niesamowite narzędzie do sprawdzania, co się dzieje na poziomie systemu.
Ɱark Ƭ

Odpowiedzi:

20

Znalazłem winowajcę!

Dzięki sugestii @Mark Thalkman stworzyłem skrypt DTrace do monitorowania aplikacji uzyskujących dostęp do tego pliku.

Aplikacja tworząca plik nosi nazwę AppWrapper . Odkryłem sposób, w jaki patrzyłem na foldery utworzone w październiku w /Library/Application Support. Były tylko dwa appWrapperi eSellerate. Pobrałem więc AppWrapper ponownie i po uruchomieniu skrypt wykrył, że ma dostęp do pliku.

Jestem pewien, że programista popełnił błąd i zamiast zapisać plik w appWrapperfolderze, w którym go zapisał ~/Library/Application Support.

Dla zainteresowanych, oto skrypt:

#!/usr/sbin/dtrace -s

\#pragma D option quiet

BEGIN
{
  printf("\n   Timestamp           gid   uid   pid  ppid execname     function           current directory file name\n\n");
}

syscall::open:entry,   
syscall::unlink:entry,  
syscall::rename:entry
/strstr(stringof(copyinstr(arg0)), $1) != NULL/
{
      printf("%Y %5d %5d %5d %5d %-12s %-10s %25s %s\n", walltimestamp, gid, uid, pid, ppid, execname, probefunc, cwd, stringof(copyinstr(arg0)));
}
Trasplazio Garzuglio
źródło
5
.. a pytanie bardziej interesujące teraz brzmi: do czego potrzebny jest ten plik?
Chris W. Rea
1
Byłem ciekawy tego, więc wysłałem im e-mailem informację, czy mogą rzucić jakieś światło na ten plik. Byli bardzo niejasni:
Tony
Drogi Tony, Nazywam się Sam Rowlands i jestem jednym z programistów w Ohanaware, dziękuję za wiadomość e-mail. Przepraszam za opóźnioną odpowiedź na Twój e-mail. Plik, o którym mowa, jest częścią naszego systemu rejestracji, jego usunięcie może powodować problemy z rejestracją opakowania aplikacji. Dziękujemy za wsparcie Ohanaware i naszego oprogramowania. Sam Rowlands
Tony
1
Jak na ironię, częścią funkcjonalności App Wrapper jest uproszczenie aplikacji piaskownicy dla MAS!
Timothy Mueller-Harder
9

Śledzenie procesu, w którym zapisano ten plik, może nie być możliwe, ale dlaczego nie spróbować.

Weź kopię fseventer lub wyszukaj tę nazwę pliku w polu reflektora Time Machine, aby sprawdzić, czy możesz zawęzić listę, gdy dotrze na komputer Mac.

bmike
źródło
1
Time Machine to dobra sugestia, niestety nie jest instalowana na komputerze, na którym znalazłem ten plik.
Trasplazio Garzuglio