正如您可能已经知道的,当代理(浏览器,邮件客户端等)将文件保存到您的计算机时,会设置隔离标志。这是您首次尝试打开从互联网下载的应用程序时出现的警告的责任。
所有这些信息都存储起来,并且每个用户都有完整的历史记录。
前4位数字是我期望在quarantine.h
中定义的一组标志,它在Apple的开源代码中似乎是copyfile.c中包含的专用标头。
这些标志代表状态,例如文件是否被隔离。我们可以看到quarantine_get_flags
这个函数。
这里只是一个拆解KEXT
注意XATTR输出的第4个标志与_sscanf格式(RBX, “%04X;”)的片段==为0x1)
这请致电quarantine_get_info
。
我们可以看到这里的标志表示该系统上的文件的各种状态,与VFS是虚拟文件系统和vnode是一个文件的基本表示结构。
至于xattr
输出的其余部分,每个用户都有一个本地的sqlite3
数据库,用于记录下载的每个项目。它的位置是
〜/库/首选项/ com.apple.LaunchServices.QuarantineEventsV2
数据库只有一个表LSQuarantineEvent
。您可以通过在终端
sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent;"
使用sqlite3
命令如果过滤结果(grep的或替代),你就可以说弥补了xattr
后期的GUID匹配读取所有数据输出,您将看到有关该特定下载的所有信息,包括哪个代理负责下载文件,甚至包括从中检索文件的URL。