[求助🆘] 我的手机里每天都会莫名多出一个名为 xposed_data_时间戳.png 的文件

This topic created in 641 days ago, the information mentioned may be changed or developed.

手机是最近新换的小米 14 ，没有 root ，也没有安装奇怪的 APP （之前装过一个破解版番茄小说，已经卸载了，但是这个文件还是会出现）。大佬们帮忙看下这个文件有没有害，有什么办法能找到这个文件是怎么产生的吗？

文件属性

名称
xposed_data_1722476591439.png

目录
/storage/emulated/0/Download/

类型 
文件

大小
405B (405)

修改时间 
2024-08-01 09:17:21

权限
-rw-rw----(660)

所有者
u0_a235

用户组
media_rw

我用文本编辑器打开后发现内容如下

[123,34,99,105,100,34,58,52,54,48,44,34,108,97,99,34,58,49,48,56,57,57,55,49,56,44,34,108,97,116,105,116,117,100,101,34,58,51,48,46,50,48,50,56,54,50,50,51,57,49,48,51,57,50,50,44,34,108,111,110,103,105,116,117,100,101,34,58,49,50,48,46,50,52,56,53,52,57,55,55,56,52,48,51,55,52,44,34,115,105,103,110,34,58,123,125,44,34,116,105,109,101,115,116,97,109,112,34,58,49,55,50,50,52,55,53,48,52,49,54,55,52,125]

拿去用 AI 破解了一下, AI 说这个数据是使用 ASCII 码编码的 JSON 对象。

解码后的 JSON 对象：

{
    "cid": "548",
    "lac": "10877516",
    "lattitude": "30.200864005179005",
    "longitude": "100.22632757562481",
    "sign": [],
    "timestamp": "1720248164762"
}

我用坐标拾取器查了下上面的经纬度，发现是在西藏那边，我从来都没去过，timestamp 也不是文件的创建时间

xposed_data

文件

生成

19 replies • 2024-08-03 17:37:50 +08:00

sky96111

Aug 2, 2024

用户组是 media_rw ，而且是 png 格式，估计是利用普通应用无需权限就可以写入标准目录的特性来干坏事。怀疑那种看起来就不正的第三方 app

SilencerL

Aug 2, 2024

这坐标是杭州附近吧

sky96111

Aug 2, 2024

真找不到的话考虑 root 后使用 rikka 的存储空间隔离来检查

SilencerL

Aug 2, 2024

是不是你的 AI 回答错了，你给出的这串 ASCII 转码之后是：{"cid":460,"lac":10899718,"latitude":30.202862239103922,"longitude":120.24854977840374,"sign":{},"timestamp":1722475041674}

你可以自己试试：
function decodeAscii(asciiArray) {
return asciiArray.map(value => String.fromCharCode(value)).join('');
}

ice000

Aug 2, 2024

看权限使用记录，二分关闭获取 GPS 应用的权限

itsfated

Aug 2, 2024

@echo off
setlocal enabledelayedexpansion

REM Get list of package names
for /f "tokens=2 delims==," %%a in ('adb shell pm list packages -f') do (
set "pkg_name=%%a"
echo package:!pkg_name!

REM Get userId for each package
for /f "tokens=1,2 delims== " %%b in ('adb shell dumpsys package !pkg_name! ^| findstr /R "userId"') do (
if "%%b"=="userId" (
set /a raw_userid=%%c
if !raw_userid! LSS 10000 (
echo userId=!raw_userid!
) else (
set /a adjusted_userid=%%c - 10000
echo userId=u0_a!adjusted_userid!
)
)
)
echo.
)

endlocal
用这个脚本看下有没有 u0_a235 这个用户的应用

fionasit007

Aug 2, 2024

会不会是照片水印预存位置信息啥的

ysc3839

Aug 2, 2024 via Android

文件属性是怎么看的？居然能看到所有者？

Tiaoooo

Aug 2, 2024 via Android

@SilencerL 可能是我沾错文件了，反正格式是这样的

Tiaoooo

Aug 2, 2024 via Android

@itsfated 好的感谢，回头我试一下

Tiaoooo

Aug 2, 2024 via Android

@ysc3839 MT 文件管理器

Tiaoooo

Aug 2, 2024 via Android

@fionasit007 这个文件只剩后缀是.png,里面其实只有文本

Tiaoooo

Aug 2, 2024 via Android

应该可以确定了，是我在用的虚拟定位 APP 产生的。

权限使用记录截图：
https://z.wiki/u/h40xOL
https://z.wiki/u/ewulOB
https://z.wiki/u/dGCrSe

App 是我在 V 站推广帖下载的
https://global.v2ex.com/t/1010841

@devret 没有恶意，可以说下为什么会生成这个文件吗？