Delta zwischen Time Machine Backups

K

kinnla

Neues Mitglied
Thread Starter
Dabei seit
01.05.2009
Beiträge
15
Reaktionspunkte
0
Hallo,
gibt es einen einfachen Weg, das Delta zwischen Time Machine Backups festzustellen? Also einen Diff über alle gesicherten Dateien für zwei Zeitpunkte.
Hintergrund: Gestern Abend hing mein MacBook, und nach einem Neustart wurde ca. 5 Minuten lang etwas installiert. In der Mac Update-Historie (System Information --> Software --> Installation) war das letzte Update jedoch von acht Tagen. Also wüsste ich gerne, was verändert wurde. Vielleicht habe ich acht Tage lang nicht neu gestartet, das wäre eine Erklärung für die Installation.
Gerade mache ich ein Time Machine Backup (das letzte war erst vor drei Tagen). Anhand der beiden Snapshots sollte man feststellen können, welche Dateien verändert wurden.
Ich habe eben von dieser Sicherheitslücke gelesen: https://www.sektioneins.de/en/blog/15-07-07-dyld_print_to_file_lpe.html und mein System getestet, und bin leider betroffen. Ich kann nicht abschätzen, ob die Lücke auch über Remote, von einem Angreifer aus dem Internet, ausgenutzt werden kann, um mein System zu verändern. Daher würde ich gerne überprüfen, was verändert wurde.
Gruß,
kinnla
 
update: 8,10 GB werden über Time Machine gesichert.
 
Guck mal in der man-page zu tmutil nach.

Mit tmutil compare sollte das gehen. Alternativ gibt es ein Tool namens BackupLoupe das das auch kann.

Von der Sicherheitslücke sind alle betroffen, die ist aber weniger spektakulär, als sie dargestellt wird und bestimmt nicht der Grund für die Installation.
 
hey spaceman,
danke für den Hinweis! tmutil compare... Neben ein paar updates und downloads gibt's neu einen 5,17GB inode unter lost+found. Geht wohl auf meine Kappe -- bei einem reboot habe ich den Rechner hart ausgeschaltet, weil ich dachte, der Rechner wäre hängengeblieben.
Das erklärt also das große Delta seit dem letzten Time-Machine-Backup. Ich versteh noch immer nicht, was letzte Nacht installiert wurde. Hoffentlich raucht die SSD nicht ab... laut diskutil ist noch alles i.O.
+++ kinnla
 
5,17GB große Dateien unter lost+found sind oft übrig gebliebene OS X Images von der Installation. Kannst du interessehalber mal .DMG oder .app als Endung anfügen (weiß nicht mehr genau welches von beidem es ist). Ist mit ziemlicher Sicherheit irgendein OS X Image, hatte ich auch schonmal.
 
Volltreffer! Als DMG gemountet heißt das Teil "OS X Install ESD", und enthält eine Datei "BaseSystem.dmg" und ein Verzeichnis "Packages". Das passt mit der Beobachtung zusammen: Sieht so aus, als wäre OSX im Recovery-Mode gewesen, um etwas zu installieren, als ich den Rechner ausgeschaltet habe.
 
kinnla schrieb:
Volltreffer! Als DMG gemountet heißt das Teil "OS X Install ESD", und enthält eine Datei "BaseSystem.dmg" und ein Verzeichnis "Packages". Das passt mit der Beobachtung zusammen: Sieht so aus, als wäre OSX im Recovery-Mode gewesen, um etwas zu installieren, als ich den Rechner ausgeschaltet habe.
Zum Vergrößern anklicken....

oder Du hast einfach ein OS X Update gefahren ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten