Come è finito questo file inquietante nella mia cartella Supporto applicazioni?

Naviga le tue risposte
26

Deleting this file will break the whole internets, for the sake of our children don't do it!.

La citazione precedente è il contenuto di un file di testo chiamato STR8369805638PUB6932583035105 che ho trovato oggi sfogliando il ~/Library/Application Support utilizzando un terminale.

Ho trovato una discussione sui forum Apple di qualcuno che ha esattamente il stesso problema. Viene anche discusso in un forum tedesco .

Il file non è visibile utilizzando il Finder, l'ho scoperto perché ho fatto un ls mentre in ~/Library/Application Support .

Ecco come appare il file in un editor binario, l'unica cosa strana potrebbe essere che il file termini con un CR (0D) anche se è piuttosto recente (è stato creato ad ottobre):

Qualcuno ha idea di dove possa arrivare questo file?

    
posta Trasplazio Garzuglio 28.02.2013 - 16:44
fonte

2 risposte

20

Ho trovato il colpevole!

Grazie al suggerimento di @ Mark Thalkman ho creato uno script DTrace per monitorare le applicazioni che accedono a quel file.

L'applicazione che crea il file si chiama AppWrapper . Il modo in cui l'ho scoperto era guardare le cartelle create in ottobre in /Library/Application Support . C'erano solo due, appWrapper e eSellerate . Quindi ho scaricato nuovamente AppWrapper e dopo averlo avviato lo script ha rilevato che stava accedendo al file.

Sono sicuro che lo sviluppatore ha commesso un errore e invece di salvare il file nella cartella appWrapper lo ha salvato in ~/Library/Application Support .

Per chi è interessato, ecco lo script: 

#!/usr/sbin/dtrace -s

\#pragma D option quiet

BEGIN
{
  printf("\n   Timestamp           gid   uid   pid  ppid execname     function           current directory file name\n\n");
}

syscall::open:entry,   
syscall::unlink:entry,  
syscall::rename:entry
/strstr(stringof(copyinstr(arg0)), $1) != NULL/
{
      printf("%Y %5d %5d %5d %5d %-12s %-10s %25s %s\n", walltimestamp, gid, uid, pid, ppid, execname, probefunc, cwd, stringof(copyinstr(arg0)));
}
    
risposta data 28.02.2013 - 18:10
fonte
9

Potresti non essere in grado di tracciare il processo che ha scritto quel file, ma perché non provare.

Copia una copia di fseventer o cerca quel nome di file nello spot di Time Machine campo per vedere se riesci a restringere quando è arrivato sul tuo Mac.

    
risposta data 28.02.2013 - 17:24
fonte

Leggi altre domande sui tag

Come sbloccare un Mac bloccato con il blocco schermo "Cortina" di Apple Remote Desktop Modifica la password di csault di crittografia OSX per abbinare il pass di accesso