Wie kam es zu dieser bedrohlichen Datei in meinem Anwendungsunterstützungsordner?

26

Das Löschen dieser Datei wird das gesamte Internet zerstören, zum Wohle unserer Kinder, tun Sie es nicht !.

Das obige Zitat ist der Inhalt einer Textdatei mit dem Namen STR8369805638PUB6932583035105 , die ich heute beim Surfen ~/Library/Application Supportmit einem Terminal gefunden habe.

Ich habe einen Thread in den Apple-Foren von jemandem gefunden, der genau dasselbe Problem hat. Es wird auch in einem deutschen Forum diskutiert .

Die Datei ist im Finder nicht sichtbar. Ich habe sie entdeckt, weil ich eine lsWeile darin gearbeitet habe ~/Library/Application Support.

So sieht die Datei in einem Binäreditor aus. Das einzig Merkwürdige ist, dass die Datei mit einem CR (0D) endet, obwohl es noch ziemlich neu ist (sie wurde im Oktober erstellt):

Binäreditor-Ansicht

Hat jemand eine Ahnung, woher diese Datei kommen könnte?

Trasplazio Garzuglio
quelle
5
Ich würde es löschen, wenn ich du wäre.
Emil
4
Haben Sie im Oktober eine bestimmte Anwendung zum ersten Mal installiert oder ausgeführt? Eine Theorie: Die Datei kann eine Sentry-Datei für ein von Ihnen verwendetes Programm sein. Wenn Sie beispielsweise eine zeitlich begrenzte Demo einiger Software haben, benötigen Programmierer solcher Tools häufig einen Speicherort (und einen gut versteckten!), Um das Datum zu speichern, an dem Sie das Programm zum ersten Mal ausgeführt haben, um zu wissen, wann der Testzeitraum abgelaufen ist Sie müssen sich registrieren, wenn Sie die Funktionalität deaktivieren möchten, wenn Sie sich nicht registriert haben usw. Das Datum in dieser Datei ist möglicherweise das wichtigste Datum, und der Inhalt ist ein Witz.
Chris W. Rea
Hee hee - hoffentlich ist es ein Entwickler mit Sinn für Humor.
bmike
@bmike yeah Ich nehme an, trotzdem würde ich gerne wissen, ob jemand die gleiche Datei hat.
Trasplazio Garzuglio
4
Wenn Sie ein Entwickler sind, können Sie mit dtrace herausfinden, wer auf diese Datei zugreift. Wenn Sie dtrace nicht kennen, ist es ein großartiges Tool, um herauszufinden, was auf Systemebene vor sich geht.
Ɱark Ƭ

Antworten:

20

Ich habe den Täter gefunden!

Dank des Vorschlags von @Mark Thalkman habe ich ein DTrace-Skript erstellt, um Anwendungen zu überwachen, die auf diese Datei zugreifen.

Die Anwendung, die die Datei erstellt, heißt AppWrapper . Ich entdeckte es, indem ich mir die Ordner ansah, die im Oktober 2008 erstellt wurden /Library/Application Support. Es waren nur zwei appWrapperund eSellerate. Also habe ich AppWrapper erneut heruntergeladen und nach dem Start hat das Skript festgestellt, dass es auf die Datei zugreift.

Ich bin sicher, der Entwickler hat einen Fehler gemacht und die Datei nicht in dem appWrapperOrdner gespeichert, in dem er sie gespeichert hat ~/Library/Application Support.

Für Interessierte ist hier das Drehbuch:

#!/usr/sbin/dtrace -s

\#pragma D option quiet

BEGIN
{
  printf("\n   Timestamp           gid   uid   pid  ppid execname     function           current directory file name\n\n");
}

syscall::open:entry,   
syscall::unlink:entry,  
syscall::rename:entry
/strstr(stringof(copyinstr(arg0)), $1) != NULL/
{
      printf("%Y %5d %5d %5d %5d %-12s %-10s %25s %s\n", walltimestamp, gid, uid, pid, ppid, execname, probefunc, cwd, stringof(copyinstr(arg0)));
}
Trasplazio Garzuglio
quelle
5
.. und die Frage für die Neugierigeren ist jetzt: Wofür braucht es diese Datei?
Chris W. Rea
1
Ich war neugierig und schickte ihnen eine E-Mail, um zu sehen, ob sie etwas Licht auf diese Datei werfen könnten. Sie waren sehr vage:
Tony
Lieber Tony, mein Name ist Sam Rowlands und ich bin einer der Entwickler hier bei Ohanaware. Vielen Dank für Ihre E-Mail. Ich entschuldige mich für die verspätete Antwort auf Ihre E-Mail. Die betreffende Datei ist Teil unseres Registrierungssystems. Das Löschen kann zu Problemen bei der Registrierung von App Wrapper führen. Vielen Dank für die Unterstützung von Ohanaware und unserer Software. Sam Rowlands
Tony
1
Ironischerweise besteht ein Teil der Funktionalität von App Wrapper darin, Sandboxing- Anwendungen für den MAS zu vereinfachen !
Timothy Mueller-Harder
9

Möglicherweise können Sie den Prozess, der diese Datei geschrieben hat, nicht nachverfolgen, aber warum nicht versuchen?

Besorgen Sie sich eine Kopie von fseventer oder suchen Sie nach diesem Dateinamen im Scheinwerferfeld von Time Machine, um zu sehen, ob Sie ihn eingrenzen können, wenn er auf Ihrem Mac ankommt .

bmike
quelle
1
Time Machine ist ein guter Vorschlag, leider ist es nicht auf dem Computer eingerichtet, auf dem ich diese Datei gefunden habe.
Trasplazio Garzuglio