Qualcuno sa di /private/var/keybags/backup_keys_cache.db

0

Oggi ho ricevuto un messaggio popup nel mio iPad2 (jailbroken usando assenzio) che ha 0 spazio libero.

Usando ssh, controllo la dimensione delle cartelle nell'iPad e ho scoperto un file interessante che occupa spazio su 4.1G e continua a crescere.

Il file è /private/var/keybags/backup_keys_cache.db

Il proprietario è root utente e wheel gruppo. Curioso, rinominare il file in backup_keys_cache.db.orig . Faccio di nuovo ls e ho scoperto che il file è stato nuovamente creato e ora continua a crescere di dimensioni.

AbiFathirs-iPad:~ root# ls -alh /private/var/keybags/
total 4.1G
drwx------  2 root wheel  170 Feb 18 23:54 ./
drwxr-xr-x 30 root wheel 1.2K Feb 18 23:52 ../
-rw-------  1 root wheel  97K Feb 19 00:03 backup_keys_cache.db
-rw-------  1 root wheel 4.1G Feb 18 23:56 backup_keys_cache.db.orig
-rw-r--r--  1 root wheel 2.9K Feb 18 18:44 systembag.kb

Voglio sapere se qualcun altro ha questo problema? Ho provato a disinstallare l'applicazione appena installata, da cydia e dall'app store, ma il processo che ha scritto su questo file è ancora in esecuzione e il file continua a crescere.

Ho provato a installare lsof , ma quando lo eseguo, si blocca con il messaggio Cannot allocate memory

Aggiornamento 19 febbraio 2012:

Un mio amico suggerisce una soluzione temporanea per impedire che il processo scriva in questo file. Elimina / rinomina il file originale, quindi crea un nuovo file come collegamento simbolico a /dev/null

cd /private/var/keybags/
mv backup_keys_cache.db backup_keys_cache.db.orig2 && ln -s /dev/null backup_keys_cache.db

Ora che il file diventa un collegamento simbolico nel buco nero, non dovrebbe affumicare lo spazio di archiviazione. Ho ancora il file originale da 4,1 GB salvato nel mio laptop e il file più piccolo che è stato creato dopo che il file originale è stato rinominato.

Ho provato a usare db4.6_dump per leggere questo file, ma ho ricevuto questo messaggio:

DATA=END
db4.6_dump: backup_keys_cache.db: DB_VERIFY_BAD: Database verification failed

Il mio amico sospetta che potrebbe provenire da strumenti di sniffing, ma è anche curioso di sapere perché il file potrebbe essere così grande.

Aggiornamento 28 febbraio 2012

Oggi ho scoperto che l'applicazione (malware?) potrebbe avere la capacità di apprendere e trovare il modo di scrivere sempre il file backup_keys_cache.db. Potrebbe rilevare ed eliminare il softlink che ho creato in / dev / null con lo stesso nome. Ho provato a eliminare il file, creare una directory con lo stesso nome, ma oggi la directory è stata rinominata e il file backup_keys_cache.db ora ha una dimensione 1.9M.

Se il file non è incluso nella versione da 4,1 GB, potrei non sapere della sua esistenza. Devo sapere se altri utenti di iPad 2 hanno avuto lo stesso problema. Controlla il tuo dispositivo e controlla se il file è presente o meno.

    
posta Donny Kurnia 18.02.2012 - 18:08
fonte

2 risposte

0

Dopo aver esaminato syslog sul mio iPad, ho trovato 2 righe che contengono la parola chiave

Feb 28 22:25:21 AbiFathirs-iPad backupd[50473] <Warning>: INFO: Refreshed cache in 4.852 s

Feb 28 22:25:21 AbiFathirs-iPad backupd[50473] <Warning>: INFO: Exporting keychain

Controllo l'eseguibile backupd nella lista dei processi e l'ho trovato qui:

# ps A|grep backupd
50803   ??  Ss     0:00.43 /System/Library/PrivateFrameworks/MobileBackup.framework/backupd

Dopo aver esaminato il contenuto del file eseguibile utilizzando le stringhe nel mio portatile ubuntu, ho scoperto che questa potrebbe essere un'applicazione di backup iCloud.

Quindi provo a disabilitare iCloud nel pannello di controllo e il nuovo file /private/var/keybags/backup_keys_cache.db non viene più visualizzato.

Non so perché il file della cache potrebbe arrivare a 4 GB la scorsa settimana. Ma almeno ora sapevo quale applicazione lo causa.

    
risposta data 29.02.2012 - 07:31
fonte
0

Se spegni iCloud, cancella il file e libera la memoria

    
risposta data 15.08.2012 - 04:02
fonte

Leggi altre domande sui tag