这个不祥的文件如何最终出现在我的“应用程序支持”文件夹中？

删除此文件将破坏整个互联网，为了我们的孩子不要这样做！

上面的引用是我今天发现使用终端浏览的名为STR8369805638PUB6932583035105的文本文件的内容~/Library/Application Support。

我在Apple论坛上找到了一个完全一样的问题。在德国论坛上也对此进行了讨论。

该文件在Finder中不可见，我发现它是因为我已经在中进行了ls一段时间~/Library/Application Support。

这是该文件在二进制编辑器中的外观，唯一奇怪的是该文件以CR（0D）结尾，尽管它是最近的（它是在10月创建的）：

有人知道这个文件可能来自哪里吗？

我找到了罪魁祸首！

感谢@Mark Thalkman的建议，我制作了一个DTrace脚本来监视访问该文件的应用程序。

创建文件的应用程序称为AppWrapper。我发现它的方法是查看在十月份创建的文件夹/Library/Application Support。只有两个，appWrapper和eSellerate。因此，我再次下载了AppWrapper，启动后，脚本检测到它正在访问文件。

我确定开发人员犯了一个错误，他没有将文件保存在文件appWrapper夹中，而是将文件保存在中~/Library/Application Support。

对于那些感兴趣的人，下面是脚本：

#!/usr/sbin/dtrace -s

\#pragma D option quiet

BEGIN
{
  printf("\n   Timestamp           gid   uid   pid  ppid execname     function           current directory file name\n\n");
}

syscall::open:entry,   
syscall::unlink:entry,  
syscall::rename:entry
/strstr(stringof(copyinstr(arg0)), $1) != NULL/
{
      printf("%Y %5d %5d %5d %5d %-12s %-10s %25s %s\n", walltimestamp, gid, uid, pid, ppid, execname, probefunc, cwd, stringof(copyinstr(arg0)));
}

您可能无法跟踪编写该文件的过程，但是为什么不尝试。

获取fseventer的副本，或在“ Time Machine”聚焦字段中搜索该文件名，以查看当它到达Mac时是否可以缩小范围。