共计 1126 个字符,预计需要花费 3 分钟才能阅读完成。
先说结论:icloud 同步属于黑盒,同步和保存什么内容全靠苹果设定
icloud 一直帮用户记得安装过的 app,尽管卸载了,只要这个 app 支持“使用 icloud 的 app”,永远会有痕迹。
背景:我的新手机从来没有恢复过旧手机的备份,都是设置为新手机。十年之间也换过 appleid,所以跟 app store 的已购项目没关系。
在 iphone 上打开 filza 文件管理,找到 /var/mobile/Library/Application Support/CloudDocs/session/db/server.db
这是一个数据库,点开表 server_zones,里面就是曾经下载过并且支持 icloud 同步的 app。有些 app 已经删掉了 10 年以上了,比如神庙逃亡。
在 /var/mobile/Library/Application Support/CloudDocs/session/containers 里,有许多 app 包名的 plist 的文件(例如 iCloud.com.meituan.imeituan),里面 BRContainerName 是 app 名称。
在 /var/mobile/Library/Application Support/CloudDocs/session/db/server.db
打开表 devices,里面是苹果 id 所有登陆过的设备的信息,设备名字会写在里面永久记录(尽管那个手机已经卖了)。
表 server-items 里,记录了 icloud drive 的所有文件,包含文件信息,有些名称奇怪的文件,item-mode=3,不知道是不是用户删除过的文件。看到过有人说 icloud 上删掉的文件仍然可以秒传。
同一个目录里,有另一个数据库 client.db,里面有表 telemetry_events,telemetry_failure-counts。翻译过来是遥测的意思,不多做解释。
我更换 id 的时候并没有重置手机,为了方便同步照片,把旧的 id 退掉就直接登录新的,导致旧 id 这些信息也被同步过去了。
同时苹果也保留其他痕迹,以下内容和 icloud 无关,只在本地存储。可以称为 ios 司法取证指南:
1./var/mobile/Library/Preferences/com.apple.mt.killed.plist 储存了被系统结束过的 app,尽管卸载了,记录依然存在。
2. 设置 - 隐私 - 分析与改进 - 诊断数据 储存了崩溃过或者被杀后台的 app 记录。尽管卸载了,记录依然存在。
3./var/preferences/com.apple.networkextension.uuidcache 如果是国行手机,会记录所有请求过联网的应用名。尽管卸载了,记录依然存在。
有什么用?可以查查对象手机
