Comment ce fichier inquiétant s'est-il retrouvé dans mon dossier de support d'application?

26

La suppression de ce fichier cassera tous les internets, pour le bien de nos enfants, ne le faites pas !.

La citation ci-dessus est le contenu d'un fichier texte appelé STR8369805638PUB6932583035105 que j'ai trouvé aujourd'hui en parcourant l' ~/Library/Application Supportutilisation d'un terminal.

J'ai trouvé un fil sur les forums Apple de quelqu'un ayant exactement le même problème. Il est également discuté sur un forum allemand .

Le fichier n'est pas visible à l'aide du Finder, je l'ai découvert parce que je l'ai fait depuis lslongtemps ~/Library/Application Support.

Voici à quoi ressemble le fichier dans un éditeur binaire, la seule chose étrange peut être que le fichier se termine par un CR (0D) bien qu'il soit assez récent (il a été créé en octobre):

Vue de l'éditeur binaire

Quelqu'un a-t-il une idée d'où peut provenir ce fichier?

Trasplazio Garzuglio
la source
5
Je le supprimerais si j'étais toi.
Emil
4
Avez-vous installé ou exécuté pour la première fois une application particulière en octobre? Une théorie: le fichier peut être un fichier sentinelle pour un programme que vous utilisez. Par exemple, si vous avez une démo limitée dans le temps de certains logiciels, les programmeurs de ces outils ont souvent besoin d'un endroit (et bien caché!) Pour stocker la date à laquelle vous avez exécuté le programme pour la première fois, pour savoir quand la période d'évaluation s'achève, quand pour vous harceler pour vous inscrire, quand désactiver les fonctionnalités si vous ne vous êtes pas inscrit, etc. La date sur ce fichier peut être l'élément de référence important et le contenu une blague.
Chris W. Rea
Hee hee - j'espère que c'est un développeur ayant le sens de l'humour.
bmike
@bmike ouais je m'attends donc, j'aimerais quand même savoir si quelqu'un a le même fichier.
Trasplazio Garzuglio
4
Si vous êtes développeur, vous pouvez utiliser dtrace pour savoir qui accède à ce fichier. Si vous ne connaissez pas dtrace, c'est un outil génial pour découvrir ce qui se passe au niveau du système.
Ɱark Ƭ

Réponses:

20

J'ai trouvé le coupable!

Grâce à la suggestion de @Mark Thalkman, j'ai créé un script DTrace pour surveiller les applications accédant à ce fichier.

L'application qui crée le fichier s'appelle AppWrapper . La façon dont je l'ai découvert était de regarder les dossiers créés en octobre /Library/Application Support. Il n'y en avait que deux, appWrapperet eSellerate. J'ai donc téléchargé à nouveau AppWrapper et après l'avoir lancé, le script a détecté qu'il accédait au fichier.

Je suis sûr que le développeur a fait une erreur et au lieu d'enregistrer le fichier dans le appWrapperdossier, il l'a enregistré ~/Library/Application Support.

Pour ceux qui sont intéressés, voici le script:

#!/usr/sbin/dtrace -s

\#pragma D option quiet

BEGIN
{
  printf("\n   Timestamp           gid   uid   pid  ppid execname     function           current directory file name\n\n");
}

syscall::open:entry,   
syscall::unlink:entry,  
syscall::rename:entry
/strstr(stringof(copyinstr(arg0)), $1) != NULL/
{
      printf("%Y %5d %5d %5d %5d %-12s %-10s %25s %s\n", walltimestamp, gid, uid, pid, ppid, execname, probefunc, cwd, stringof(copyinstr(arg0)));
}
Trasplazio Garzuglio
la source
5
.. et la question pour les plus curieux est la suivante: pourquoi a- t-il besoin de ce fichier?
Chris W. Rea
1
J'étais curieux à ce sujet, alors je leur ai envoyé un e-mail pour voir s'ils pouvaient éclairer ce fichier. Ils étaient très vagues:
Tony
Cher Tony, Je m'appelle Sam Rowlands et je suis l'un des développeurs ici chez Ohanaware, merci pour votre e-mail. Je m'excuse pour la réponse tardive à votre e-mail. Le fichier en question fait partie de notre système d'enregistrement, sa suppression peut entraîner des problèmes avec l'enregistrement d'App Wrapper. Merci de supporter Ohanaware et notre logiciel. Sam Rowlands
Tony
1
Ironiquement, une partie des fonctionnalités d'App Wrapper consiste à simplifier les applications de sandboxing pour le MAS!
Timothy Mueller-Harder
9

Vous ne pourrez peut-être pas suivre le processus qui a écrit ce fichier, mais pourquoi ne pas essayer.

Prenez une copie de fseventer ou recherchez ce nom de fichier dans le champ Spotlight Time Machine pour voir si vous pouvez affiner la date d'arrivée sur votre Mac.

bmike
la source
1
Time Machine est une bonne suggestion, malheureusement il n'est pas configuré sur la machine où j'ai trouvé ce fichier.
Trasplazio Garzuglio