Alguien sabe acerca de /private/var/keybags/backup_keys_cache.db

Hoy recibí un mensaje emergente en mi iPad2 (con jailbreak usando absinthe) que tiene 0 espacios libres.

Usando ssh, reviso el tamaño de las carpetas en el iPad y descubrí un archivo interesante que tomó 4.1G de espacio y siguió creciendo.

El archivo es /private/var/keybags/backup_keys_cache.db

El propietario es root user y wheel group. Curioso, renombro el archivo a backup_keys_cache.db.orig . Hago ls otra vez y encontré que el archivo se creó de nuevo y ahora sigue creciendo en tamaño.

AbiFathirs-iPad:~ root# ls -alh /private/var/keybags/
total 4.1G
drwx------  2 root wheel  170 Feb 18 23:54 ./
drwxr-xr-x 30 root wheel 1.2K Feb 18 23:52 ../
-rw-------  1 root wheel  97K Feb 19 00:03 backup_keys_cache.db
-rw-------  1 root wheel 4.1G Feb 18 23:56 backup_keys_cache.db.orig
-rw-r--r--  1 root wheel 2.9K Feb 18 18:44 systembag.kb

¿Quiero saber si alguien más tiene este problema? Intenté desinstalar la aplicación recién instalada, desde cydia y desde la tienda de aplicaciones, pero el proceso que se escribió en este archivo aún se está ejecutando y el archivo sigue creciendo.

Intenté instalar lsof , pero cuando lo ejecuto, se bloquea con el mensaje Cannot allocate memory

Actualización 19 de febrero de 2012:

Uno de mis amigos sugiere una solución temporal para evitar que el proceso se escriba en este archivo. Elimine / cambie el nombre del archivo original, luego cree un nuevo archivo como enlace simbólico a /dev/null

cd /private/var/keybags/
mv backup_keys_cache.db backup_keys_cache.db.orig2 && ln -s /dev/null backup_keys_cache.db

Ahora, con el archivo convertido en un enlace simbólico en el agujero negro, no debe ocupar el espacio de almacenamiento. Todavía tengo el archivo original de 4.1GB guardado en mi computadora portátil, y el archivo más pequeño que se creó después de que se cambió el nombre del archivo original.

Intenté usar db4.6_dump para leer este archivo pero recibí este mensaje:

DATA=END
db4.6_dump: backup_keys_cache.db: DB_VERIFY_BAD: Database verification failed

Mi amigo sospecha que podría ser por herramientas de rastreo, pero también tiene curiosidad de por qué el archivo podría ser tan grande.

Actualización 28 de febrero de 2012

Hoy descubrí que la aplicación (malware?) podría tener la capacidad de aprender y encontrar una manera de escribir siempre el archivo backup_keys_cache.db. Podría detectar y eliminar el enlace blando que hice en / dev / null con el mismo nombre. Intenté eliminar el archivo, hacer un directorio con el mismo nombre, pero hoy el directorio ha cambiado de nombre y el archivo backup_keys_cache.db ahora tenía un tamaño de 1.9M.

Si el archivo no se introdujo en 4.1GB, es posible que no sepa de su existencia. Necesito saber si algún otro usuario de iPad 2 tuvo el mismo problema. Verifique su dispositivo y vea si tenía el archivo allí o no.