这是一个创建于 90 天前的主题,其中的信息可能已经有所发展或是发生改变。
手机是最近新换的小米 14 ,没有 root ,也没有安装奇怪的 APP (之前装过一个破解版番茄小说,已经卸载了,但是这个文件还是会出现)。 大佬们帮忙看下这个文件有没有害,有什么办法能找到这个文件是怎么产生的吗?
文件属性
名称
xposed_data_1722476591439.png
目录
/storage/emulated/0/Download/
类型
文件
大小
405B (405)
修改时间
2024-08-01 09:17:21
权限
-rw-rw----(660)
所有者
u0_a235
用户组
media_rw
我用文本编辑器打开后发现内容如下
[123,34,99,105,100,34,58,52,54,48,44,34,108,97,99,34,58,49,48,56,57,57,55,49,56,44,34,108,97,116,105,116,117,100,101,34,58,51,48,46,50,48,50,56,54,50,50,51,57,49,48,51,57,50,50,44,34,108,111,110,103,105,116,117,100,101,34,58,49,50,48,46,50,52,56,53,52,57,55,55,56,52,48,51,55,52,44,34,115,105,103,110,34,58,123,125,44,34,116,105,109,101,115,116,97,109,112,34,58,49,55,50,50,52,55,53,48,52,49,54,55,52,125]
拿去用 AI 破解了一下, AI 说这个数据是使用 ASCII 码编码的 JSON 对象。
解码后的 JSON 对象:
{
"cid": "548",
"lac": "10877516",
"lattitude": "30.200864005179005",
"longitude": "100.22632757562481",
"sign": [],
"timestamp": "1720248164762"
}
我用坐标拾取器查了下上面的经纬度,发现是在西藏那边,我从来都没去过,timestamp 也不是文件的创建时间
19 条回复 • 2024-08-03 17:37:50 +08:00
 |
1
sky96111 90 天前
用户组是 media_rw ,而且是 png 格式,估计是利用普通应用无需权限就可以写入标准目录的特性来干坏事。怀疑那种看起来就不正的第三方 app
|
 |
2
SilencerL 90 天前
这坐标是杭州附近吧
|
|
3
sky96111 90 天前
真找不到的话考虑 root 后使用 rikka 的存储空间隔离来检查
|
|
4
SilencerL 90 天前
是不是你的 AI 回答错了,你给出的这串 ASCII 转码之后是:{"cid":460,"lac":10899718,"latitude":30.202862239103922,"longitude":120.24854977840374,"sign":{},"timestamp":1722475041674}
你可以自己试试: function decodeAscii(asciiArray) { return asciiArray.map(value => String.fromCharCode(value)).join(''); } |
 |
5
ice000 90 天前
看权限使用记录,二分关闭获取 GPS 应用的权限
|
 |
6
itsfated 90 天前
@echo off
setlocal enabledelayedexpansion REM Get list of package names for /f "tokens=2 delims==," %%a in ('adb shell pm list packages -f') do ( set "pkg_name=%%a" echo package:!pkg_name! REM Get userId for each package for /f "tokens=1,2 delims== " %%b in ('adb shell dumpsys package !pkg_name! ^| findstr /R "userId"') do ( if "%%b"=="userId" ( set /a raw_userid=%%c if !raw_userid! LSS 10000 ( echo userId=!raw_userid! ) else ( set /a adjusted_userid=%%c - 10000 echo userId=u0_a!adjusted_userid! ) ) ) echo. ) endlocal 用这个脚本看下有没有 u0_a235 这个用户的应用 |
 |
7
fionasit007 90 天前
会不会是照片水印预存位置信息啥的
|
 |
8
ysc3839 90 天前 via Android
文件属性是怎么看的?居然能看到所有者?
|
 |
12
Tiaoooo OP @fionasit007 这个文件只剩后缀是.png,里面其实只有文本
|
|
13
Tiaoooo OP 应该可以确定了,是我在用的虚拟定位 APP 产生的。
权限使用记录截图: https://z.wiki/u/h40xOL https://z.wiki/u/ewulOB https://z.wiki/u/dGCrSe App 是我在 V 站推广帖下载的 https://global.v2ex.com/t/1010841 @devret 没有恶意,可以说下为什么会生成这个文件吗? |
 |
14
jeesk 90 天前 via Android
owner_package_name 用这个字段查一查是谁
|
 |
15
kk2syc 90 天前
没有 root 但是有 xposed ?干不会是 patch 那种吧?
|
 |
16
1423 90 天前
2024 年了,安卓 APP 还是可以随地拉屎
|
 |
18
Jakarta 90 天前 via Android  8
“没有安装奇怪的 APP”
“应该可以确定了,是我在用的虚拟定位 APP 产生的” |
 |
19
JensenQian 89 天前
虚拟定位 app 也不正规
我虽然安卓能装第三方,但是和 ios 一样,不从第三方装 但是我都不敢太装非 google play 和小米自己应用商店之外的 app |
Select Language