Alguien sabe acerca de /private/var/keybags/backup_keys_cache.db

0

Hoy recibí un mensaje emergente en mi iPad2 (con jailbreak usando absinthe) que tiene 0 espacios libres.

Usando ssh, reviso el tamaño de las carpetas en el iPad y descubrí un archivo interesante que tomó 4.1G de espacio y siguió creciendo.

El archivo es /private/var/keybags/backup_keys_cache.db

El propietario es root user y wheel group. Curioso, renombro el archivo a backup_keys_cache.db.orig . Hago ls otra vez y encontré que el archivo se creó de nuevo y ahora sigue creciendo en tamaño.

AbiFathirs-iPad:~ root# ls -alh /private/var/keybags/
total 4.1G
drwx------  2 root wheel  170 Feb 18 23:54 ./
drwxr-xr-x 30 root wheel 1.2K Feb 18 23:52 ../
-rw-------  1 root wheel  97K Feb 19 00:03 backup_keys_cache.db
-rw-------  1 root wheel 4.1G Feb 18 23:56 backup_keys_cache.db.orig
-rw-r--r--  1 root wheel 2.9K Feb 18 18:44 systembag.kb

¿Quiero saber si alguien más tiene este problema? Intenté desinstalar la aplicación recién instalada, desde cydia y desde la tienda de aplicaciones, pero el proceso que se escribió en este archivo aún se está ejecutando y el archivo sigue creciendo.

Intenté instalar lsof , pero cuando lo ejecuto, se bloquea con el mensaje Cannot allocate memory

Actualización 19 de febrero de 2012:

Uno de mis amigos sugiere una solución temporal para evitar que el proceso se escriba en este archivo. Elimine / cambie el nombre del archivo original, luego cree un nuevo archivo como enlace simbólico a /dev/null

cd /private/var/keybags/
mv backup_keys_cache.db backup_keys_cache.db.orig2 && ln -s /dev/null backup_keys_cache.db

Ahora, con el archivo convertido en un enlace simbólico en el agujero negro, no debe ocupar el espacio de almacenamiento. Todavía tengo el archivo original de 4.1GB guardado en mi computadora portátil, y el archivo más pequeño que se creó después de que se cambió el nombre del archivo original.

Intenté usar db4.6_dump para leer este archivo pero recibí este mensaje:

DATA=END
db4.6_dump: backup_keys_cache.db: DB_VERIFY_BAD: Database verification failed

Mi amigo sospecha que podría ser por herramientas de rastreo, pero también tiene curiosidad de por qué el archivo podría ser tan grande.

Actualización 28 de febrero de 2012

Hoy descubrí que la aplicación (malware?) podría tener la capacidad de aprender y encontrar una manera de escribir siempre el archivo backup_keys_cache.db. Podría detectar y eliminar el enlace blando que hice en / dev / null con el mismo nombre. Intenté eliminar el archivo, hacer un directorio con el mismo nombre, pero hoy el directorio ha cambiado de nombre y el archivo backup_keys_cache.db ahora tenía un tamaño de 1.9M.

Si el archivo no se introdujo en 4.1GB, es posible que no sepa de su existencia. Necesito saber si algún otro usuario de iPad 2 tuvo el mismo problema. Verifique su dispositivo y vea si tenía el archivo allí o no.

    
pregunta Donny Kurnia 18.02.2012 - 18:08

2 respuestas

0

Después de examinar syslog en mi iPad, encontré 2 filas que contienen la palabra clave

Feb 28 22:25:21 AbiFathirs-iPad backupd[50473] <Warning>: INFO: Refreshed cache in 4.852 s

Feb 28 22:25:21 AbiFathirs-iPad backupd[50473] <Warning>: INFO: Exporting keychain

Verifico backupd ejecutable en la lista de procesos y lo encontré aquí:

# ps A|grep backupd
50803   ??  Ss     0:00.43 /System/Library/PrivateFrameworks/MobileBackup.framework/backupd

Después de examinar el contenido del archivo ejecutable usando cadenas en mi computadora portátil de ubuntu, descubrí que esta podría ser una aplicación de copia de seguridad de iCloud.

Así que trato de deshabilitar iCloud en el panel de control, y el nuevo archivo /private/var/keybags/backup_keys_cache.db ya no aparece.

No sé por qué el archivo de caché podría alcanzar un tamaño de 4 GB la semana pasada. Pero al menos ahora sabía qué aplicación la causaba.

    
respondido por el Donny Kurnia 29.02.2012 - 07:31
0

Si desactivas iCloud, elimina el archivo y libera la memoria

    
respondido por el Southsde 15.08.2012 - 04:02

Lea otras preguntas en las etiquetas