[求助🆘] 我的手机里每天都会莫名多出一个名为 xposed_data_时间戳.png 的文件

2024-08-02 17:33:01 +08:00
 Tiaoooo

手机是最近新换的小米 14 ,没有 root ,也没有安装奇怪的 APP (之前装过一个破解版番茄小说,已经卸载了,但是这个文件还是会出现)。 大佬们帮忙看下这个文件有没有害,有什么办法能找到这个文件是怎么产生的吗?

文件属性

名称
xposed_data_1722476591439.png

目录
/storage/emulated/0/Download/

类型 
文件

大小
405B (405)

修改时间 
2024-08-01 09:17:21

权限
-rw-rw----(660)

所有者
u0_a235

用户组
media_rw

我用文本编辑器打开后发现内容如下

[123,34,99,105,100,34,58,52,54,48,44,34,108,97,99,34,58,49,48,56,57,57,55,49,56,44,34,108,97,116,105,116,117,100,101,34,58,51,48,46,50,48,50,56,54,50,50,51,57,49,48,51,57,50,50,44,34,108,111,110,103,105,116,117,100,101,34,58,49,50,48,46,50,52,56,53,52,57,55,55,56,52,48,51,55,52,44,34,115,105,103,110,34,58,123,125,44,34,116,105,109,101,115,116,97,109,112,34,58,49,55,50,50,52,55,53,48,52,49,54,55,52,125]

拿去用 AI 破解了一下, AI 说这个数据是使用 ASCII 码编码的 JSON 对象。

解码后的 JSON 对象:

{
    "cid": "548",
    "lac": "10877516",
    "lattitude": "30.200864005179005",
    "longitude": "100.22632757562481",
    "sign": [],
    "timestamp": "1720248164762"
}

我用坐标拾取器查了下上面的经纬度,发现是在西藏那边,我从来都没去过,timestamp 也不是文件的创建时间

7825 次点击
所在节点    Android
19 条回复
sky96111
2024-08-02 17:50:57 +08:00
用户组是 media_rw ,而且是 png 格式,估计是利用普通应用无需权限就可以写入标准目录的特性来干坏事。怀疑那种看起来就不正的第三方 app
SilencerL
2024-08-02 17:51:33 +08:00
这坐标是杭州附近吧
sky96111
2024-08-02 17:52:01 +08:00
真找不到的话考虑 root 后使用 rikka 的存储空间隔离来检查
SilencerL
2024-08-02 17:55:52 +08:00
是不是你的 AI 回答错了,你给出的这串 ASCII 转码之后是:{"cid":460,"lac":10899718,"latitude":30.202862239103922,"longitude":120.24854977840374,"sign":{},"timestamp":1722475041674}

你可以自己试试:
function decodeAscii(asciiArray) {
return asciiArray.map(value => String.fromCharCode(value)).join('');
}
ice000
2024-08-02 18:04:11 +08:00
看权限使用记录,二分关闭获取 GPS 应用的权限
itsfated
2024-08-02 18:14:29 +08:00
@echo off
setlocal enabledelayedexpansion

REM Get list of package names
for /f "tokens=2 delims==," %%a in ('adb shell pm list packages -f') do (
set "pkg_name=%%a"
echo package:!pkg_name!

REM Get userId for each package
for /f "tokens=1,2 delims== " %%b in ('adb shell dumpsys package !pkg_name! ^| findstr /R "userId"') do (
if "%%b"=="userId" (
set /a raw_userid=%%c
if !raw_userid! LSS 10000 (
echo userId=!raw_userid!
) else (
set /a adjusted_userid=%%c - 10000
echo userId=u0_a!adjusted_userid!
)
)
)
echo.
)

endlocal
用这个脚本看下有没有 u0_a235 这个用户的应用
fionasit007
2024-08-02 18:25:57 +08:00
会不会是照片水印预存位置信息啥的
ysc3839
2024-08-02 18:30:27 +08:00
文件属性是怎么看的?居然能看到所有者?
Tiaoooo
2024-08-02 18:56:40 +08:00
@SilencerL 可能是我沾错文件了,反正格式是这样的
Tiaoooo
2024-08-02 18:57:19 +08:00
@itsfated 好的感谢,回头我试一下
Tiaoooo
2024-08-02 18:58:46 +08:00
@ysc3839 MT 文件管理器
Tiaoooo
2024-08-02 19:04:19 +08:00
@fionasit007 这个文件只剩后缀是.png,里面其实只有文本
Tiaoooo
2024-08-02 19:39:36 +08:00
应该可以确定了,是我在用的虚拟定位 APP 产生的。

权限使用记录截图:
https://z.wiki/u/h40xOL
https://z.wiki/u/ewulOB
https://z.wiki/u/dGCrSe


App 是我在 V 站推广帖下载的
https://global.v2ex.com/t/1010841

@devret 没有恶意,可以说下为什么会生成这个文件吗?
jeesk
2024-08-02 20:29:27 +08:00
owner_package_name 用这个字段查一查是谁
kk2syc
2024-08-02 21:30:46 +08:00
没有 root 但是有 xposed ?干不会是 patch 那种吧?
1423
2024-08-02 21:33:57 +08:00
2024 年了,安卓 APP 还是可以随地拉屎
512357301
2024-08-03 01:19:25 +08:00
@1423 已经不错了,download 是一个公共的目录,op 用的估计又是个人开发者搞的,自然不太规范,不过目测影响不大
Jakarta
2024-08-03 01:47:28 +08:00
“没有安装奇怪的 APP”
“应该可以确定了,是我在用的虚拟定位 APP 产生的”
JensenQian
2024-08-03 17:37:50 +08:00
虚拟定位 app 也不正规
我虽然安卓能装第三方,但是和 ios 一样,不从第三方装
但是我都不敢太装非 google play 和小米自己应用商店之外的 app

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1062089

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX