V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Tiaoooo
V2EX  ›  Android

[求助🆘] 我的手机里每天都会莫名多出一个名为 xposed_data_时间戳.png 的文件

  •  
  •   Tiaoooo · 111 天前 · 4700 次点击
    这是一个创建于 111 天前的主题,其中的信息可能已经有所发展或是发生改变。

    手机是最近新换的小米 14 ,没有 root ,也没有安装奇怪的 APP (之前装过一个破解版番茄小说,已经卸载了,但是这个文件还是会出现)。 大佬们帮忙看下这个文件有没有害,有什么办法能找到这个文件是怎么产生的吗?

    文件属性

    名称
    xposed_data_1722476591439.png
    
    目录
    /storage/emulated/0/Download/
    
    类型 
    文件
    
    大小
    405B (405)
    
    修改时间 
    2024-08-01 09:17:21
    
    权限
    -rw-rw----(660)
    
    所有者
    u0_a235
    
    用户组
    media_rw
    

    我用文本编辑器打开后发现内容如下

    [123,34,99,105,100,34,58,52,54,48,44,34,108,97,99,34,58,49,48,56,57,57,55,49,56,44,34,108,97,116,105,116,117,100,101,34,58,51,48,46,50,48,50,56,54,50,50,51,57,49,48,51,57,50,50,44,34,108,111,110,103,105,116,117,100,101,34,58,49,50,48,46,50,52,56,53,52,57,55,55,56,52,48,51,55,52,44,34,115,105,103,110,34,58,123,125,44,34,116,105,109,101,115,116,97,109,112,34,58,49,55,50,50,52,55,53,48,52,49,54,55,52,125]
    

    拿去用 AI 破解了一下, AI 说这个数据是使用 ASCII 码编码的 JSON 对象。

    解码后的 JSON 对象:

    {
        "cid": "548",
        "lac": "10877516",
        "lattitude": "30.200864005179005",
        "longitude": "100.22632757562481",
        "sign": [],
        "timestamp": "1720248164762"
    }
    

    我用坐标拾取器查了下上面的经纬度,发现是在西藏那边,我从来都没去过,timestamp 也不是文件的创建时间

    19 条回复    2024-08-03 17:37:50 +08:00
    sky96111
        1
    sky96111  
       111 天前
    用户组是 media_rw ,而且是 png 格式,估计是利用普通应用无需权限就可以写入标准目录的特性来干坏事。怀疑那种看起来就不正的第三方 app
    SilencerL
        2
    SilencerL  
       111 天前
    这坐标是杭州附近吧
    sky96111
        3
    sky96111  
       111 天前
    真找不到的话考虑 root 后使用 rikka 的存储空间隔离来检查
    SilencerL
        4
    SilencerL  
       111 天前
    是不是你的 AI 回答错了,你给出的这串 ASCII 转码之后是:{"cid":460,"lac":10899718,"latitude":30.202862239103922,"longitude":120.24854977840374,"sign":{},"timestamp":1722475041674}

    你可以自己试试:
    function decodeAscii(asciiArray) {
    return asciiArray.map(value => String.fromCharCode(value)).join('');
    }
    ice000
        5
    ice000  
       111 天前
    看权限使用记录,二分关闭获取 GPS 应用的权限
    itsfated
        6
    itsfated  
       111 天前
    @echo off
    setlocal enabledelayedexpansion

    REM Get list of package names
    for /f "tokens=2 delims==," %%a in ('adb shell pm list packages -f') do (
    set "pkg_name=%%a"
    echo package:!pkg_name!

    REM Get userId for each package
    for /f "tokens=1,2 delims== " %%b in ('adb shell dumpsys package !pkg_name! ^| findstr /R "userId"') do (
    if "%%b"=="userId" (
    set /a raw_userid=%%c
    if !raw_userid! LSS 10000 (
    echo userId=!raw_userid!
    ) else (
    set /a adjusted_userid=%%c - 10000
    echo userId=u0_a!adjusted_userid!
    )
    )
    )
    echo.
    )

    endlocal
    用这个脚本看下有没有 u0_a235 这个用户的应用
    fionasit007
        7
    fionasit007  
       111 天前
    会不会是照片水印预存位置信息啥的
    ysc3839
        8
    ysc3839  
       111 天前 via Android
    文件属性是怎么看的?居然能看到所有者?
    Tiaoooo
        9
    Tiaoooo  
    OP
       111 天前 via Android
    @SilencerL 可能是我沾错文件了,反正格式是这样的
    Tiaoooo
        10
    Tiaoooo  
    OP
       111 天前 via Android
    @itsfated 好的感谢,回头我试一下
    Tiaoooo
        11
    Tiaoooo  
    OP
       111 天前 via Android
    @ysc3839 MT 文件管理器
    Tiaoooo
        12
    Tiaoooo  
    OP
       111 天前 via Android
    @fionasit007 这个文件只剩后缀是.png,里面其实只有文本
    Tiaoooo
        13
    Tiaoooo  
    OP
       111 天前 via Android
    应该可以确定了,是我在用的虚拟定位 APP 产生的。

    权限使用记录截图:
    https://z.wiki/u/h40xOL
    https://z.wiki/u/ewulOB
    https://z.wiki/u/dGCrSe


    App 是我在 V 站推广帖下载的
    https://global.v2ex.com/t/1010841

    @devret 没有恶意,可以说下为什么会生成这个文件吗?
    jeesk
        14
    jeesk  
       111 天前 via Android
    owner_package_name 用这个字段查一查是谁
    kk2syc
        15
    kk2syc  
       111 天前
    没有 root 但是有 xposed ?干不会是 patch 那种吧?
    1423
        16
    1423  
       111 天前
    2024 年了,安卓 APP 还是可以随地拉屎
    512357301
        17
    512357301  
       111 天前
    @1423 已经不错了,download 是一个公共的目录,op 用的估计又是个人开发者搞的,自然不太规范,不过目测影响不大
    Jakarta
        18
    Jakarta  
       111 天前 via Android   ❤️ 8
    “没有安装奇怪的 APP”
    “应该可以确定了,是我在用的虚拟定位 APP 产生的”
    JensenQian
        19
    JensenQian  
       110 天前
    虚拟定位 app 也不正规
    我虽然安卓能装第三方,但是和 ios 一样,不从第三方装
    但是我都不敢太装非 google play 和小米自己应用商店之外的 app
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1168 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:27 · PVG 02:27 · LAX 10:27 · JFK 13:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.