Mac

Hvordan fange og fjerne skjulte lanseringsdemoer og lanseringsagenter på Mac

Hvordan fange og fjerne skjulte lanseringsdemoer og lanseringsagenter på Mac / Mac

Har du noen gang opplevd disse frustrasjonene på din Mac?

  • En app vises i menylinjen, men ikke i innloggingselementene dine.
  • Safari omadresserer til adware-nettsteder eller endrer sin hjemmeside uten din tillatelse.
  • Ukjente prosesser bruker CPU i bakgrunnen.

Dessverre, med disse typer uventede hendelser, er det ikke nok å fjerne appen fra påloggingselementene for å løse problemet. Det er mange underliggende skjulte komponenter, og Apple avslører ikke dem i det typiske MacOS-grensesnittet.

Vi viser hvordan du kan overvåke og håndtere disse skjulte påloggingselementene for å feilsøke unike Mac-problemer.

Forstå MacOS Startup Routine

Når du trykker på strømknappen, starter Macen opp med en rekke kjente hendelser:

  • Du hører en hørbar oppstartsljud (nyere Macer gjør ikke dette).
  • Apple-logoen vises sammen med fremdriftslinjen.
  • Du ser påloggingsskjermen vises når dette er fullført (eller skrivebordet hvis du har automatisk påloggning aktivert).

Bak kulissene starter macOS launchd prosess. Dette er ansvarlig for å starte, stoppe og administrere alle andre prosesser, inkludert system og individuelle brukerkontoer. Prosessen er svært optimalisert og tar bare noen få øyeblikk.

For å undersøke dette selv, åpne Aktivitetsmonitor app, og velg Vis> Alle prosesser. På toppen finner du to hovedprosesser: kernel_task og launchd, med deres prosess-IDer (PID) som 0 og 1.

Dette viser det launchd er den primære foreldreprosessen når systemet starter. Det er også den siste prosessen å gå ut når systemet slår seg av.

Kjerneansvaret av launchd er å starte andre prosesser eller jobber på en planlagt eller på forespørsel. Disse kommer i to typer: LaunchDaemons og LaunchAgents.

Hva er LaunchDaemons og LaunchAgents?

LaunchDaemons kjører vanligvis som root, uansett om en bruker er logget inn eller ikke. De kan ikke vise informasjon ved hjelp av det grafiske brukergrensesnittet og påvirke hele systemet.

For eksempel, locationd prosess registrerer den geografiske plasseringen av Mac, mens bluetoothd prosess styrer Bluetooth. Listen over daemoner lever på følgende steder:

  • / System / Bibliotek / LaunchDaemons for native macOS prosesser
  • / Library / LaunchDaemons for installerte tredjepartsapper

LaunchAgents starter når en bruker logger på. I motsetning til daemoner, kan de få tilgang til brukergrensesnittet og vise informasjon. For eksempel kan en kalenderapp overvåke brukerens kalenderkonto for hendelser og varsle deg når hendelsen oppstår. Listen over agenter lever på følgende steder:

  • / Library / LaunchAgents for alle brukerkontoer
  • ~ / Library / LaunchAgents for en bestemt brukerkonto
  • / System / Bibliotek / LaunchAgents kun for macOS

Før du logger inn, launchd kjører tjenester og andre komponenter spesifisert i PLIST-filer fra mappen LaunchDaemons. Når du har logget inn, launchd vil kjøre tjenester og komponenter definert i PLIST-filer fra LaunchAgents-mappene. De i / System / Bibliotek er alle en del av MacOS og beskyttet av System Integrity Protection Hva er SIP? MacOS System Integrity Protection Forklart Hva er SIP? MacOS System Integrity Protection Forklaret Hva er System Integrity Protection på Mac? Vi forklarer hva SIP gjør og hvordan det påvirker macOS-programvaren. Les mer .

Innstillingsfilene følger standardnavnet for omvendt domenenavn. Den begynner med firmanavnet, etterfulgt av en applikasjonsidentifikator, og slutter med egenskapslisten filtypenavn (.PLIST). For eksempel, at.obdev.LittleSnitchHelper.plist er hjelpefilen for LittleSnitch-appen.

Hvordan fange LaunchDaemons og LaunchAgents

I motsetning til de i System mappe, offentligheten LaunchDaemon og LaunchAgent mapper er åpne for både legitime og illegitime apper. Du kan overvåke disse mappene automatisk med mappehandlinger.

Åpne AppleScript Editor app ved å søke etter det i Spotlight. Klikk Preferanser og velg Generelt> Vis Skriptmeny i menylinjen.

Klikk på Skriptmeny ikonet og velg Mappehandlinger> Aktiver mappehandlinger. Velg deretter Fest Skript til mappe i den samme menyen.

En dialogboks vil dukke opp. Herfra velger du legg til - nytt varsel om varsel.

Klikk OK for å åpne et Finder-vindu. Velg nå bruker LaunchDaemon-mappen (oppført ovenfor) og klikk Velge.

Gjenta prosedyren ovenfor for hver LaunchAgents-mappe.

Når du er ferdig, åpne Finder og klikk Gå> Gå til mappe eller trykk Skift + Cmd + G for å åpne navigasjonsdialogboksen. Type ~ / Library / LaunchAgents og klikk .

Høyreklikk på LaunchAgents mappe og velg Tjenester> Mappehandlinger å binde det nye varselskriptet til hver mappe.

I dialogboksen som dukker opp, ser du listen over mapper i venstre kolonne og skript i den høyre kolonnen. Hvis du ikke ser noen skript, klikker du på I tillegg til knappen og legg til nytt element alert.scpt.

Vurder å overvåke disse mappene med Apps

Hvis du vil ha flere alternativer for varsler på disse mappene, kan du prøve noen tredjepartsverktøy.

EtreCheck er et macOS diagnostisk verktøy som viser laststatusen til tredjeparts LaunchDaemons og LaunchAgents, blant annet info. Når du kjører EtreCheck, samles det en rekke opplysninger om din Mac 9 Viktige detaljer du må vite om din Mac 9 Viktige detaljer Du må vite om Mac-en din Som en Mac-bruker må du vite visse detaljer om datamaskinen din dersom du trenger å feilsøke. Her er flere viktige Mac-detaljer du bør sjekke akkurat nå. Les mer og presenter den i en lettlest rapport. Det har også flere hjelpemuligheter når det gjelder adware, mistenkelige daemoner og agenter, usignerte filer og mer.

Åpne EtreCheck og klikk Scan. Dette vil ta noen minutter, og når det er gjort, vil du se et fullstendig sammendrag av datamaskinen din. Dette inkluderer store og mindre problemer, maskinvarespesifikasjon, programvarekompatibilitetsproblemer, status for LaunchDaemons og LaunchAgents, og mer.

Appen er gratis for de fem første rapportene, og krever deretter et kjøp på $ 10 i app for fortsatt bruk.

Lingon X er et annet verktøy som lar deg starte en app, et skript eller kjøre en kommando automatisk på en tidsplan. Den kan også overvåke alle LaunchDaemons og LauchAgents-mappene i bakgrunnen og vise varsel når noe endres. Du kan se alle elementene grafisk og justere dem etter behov.

Dette verktøyet er gratis å prøve, og koster $ 15 for et fullstendig lisens.

Slik fjerner du LaunchDaemons og LaunchAgents

Offentligheten / Library / LaunchAgents og / Library / LaunchDaemons mapper er sårbare for både legitime og illegitime apper. En legitim app kan bruke den til markedsføring, mens ulovlige apper kan bruke dem til å stjele data og infisere systemet.

For at adware og malware skal lykkes, må de fortsette i hver brukersøkt. For å gjøre dette skaper malware og adware forfattere skadelig kode og legger den i LaunchAgent eller LaunchDaemon-mappen. Hver gang Macen starter, launchd vil sørge for at den ondsinnede koden kjører automatisk. Heldigvis kan sikkerhetsapplikasjoner beskytte seg mot dette.

Bruk Mac Security Apps

Den gratis KnockKnock virker på prinsippet om utholdenhet. Den viser vedvarende installerte apper og deres komponenter i et pent grensesnitt. Klikk på Scan knappen, og KnockKnock vil skanne alle kjente steder der malware kan være tilstede.

Den venstre ruten inneholder kategoriene av vedvarende apps, med navn og en kort beskrivelse. Klikk på en hvilken som helst gruppe for å vise elementene i den høyre ruten. For eksempel, klikk Start elementer i venstre rute for å vise alle LaunchAgents og LaunchDaemons.

Hver rad gir detaljert informasjon om appen. Dette inkluderte signert eller usignert status, banen til filen, og antivirus scanresultater fra VirusTotal.

En annen gratis sikkerhetsapp fra Objective-See, BlockBlock overvåker kontinuerlig persistenssteder. Appen kjører i bakgrunnen og viser deg et varsel når malware legger til en vedvarende komponent til macOS.

Ikke alle tredjeparts PLIST-filer er skadelige, skjønt. De kunne komme fra hvor som helst, inkludert:

  • Komponenter av installerte apper
  • Rester av gamle apper du ikke lenger bruker
  • Rester fra tidligere MacOS-oppgraderinger
  • Flyttingsassistentrester
  • PUP (potensielt uønskede programmer), adware og malware.

Du vil ikke slette noen komponenter av installerte apper. Det er imidlertid helt trygt å fjerne restene av gamle apper og rester fra tidligere MacOS-oppgraderinger (med mindre du vil fortsette å bruke disse appene).

Det er ikke noe unikt avinstalleringsprosess for dette - bare ødelegge PLIST-filen og start på nytt. Eller du kan klippe og lime den inn på skrivebordet ditt for å få en kopi og være på den sikre siden. Ikke slett noen elementer fra System LaunchAgents eller LaunchDaemons mapper, som de kreves for macOS å løpe jevnt.

Adware og PUP er notorisk utfordrende å takle. Når du er i tvil, kjør den gratis versjonen av Malwarebytes og vurder å oppgradere til Malwarebytes Premium hvis du trenger ekstra beskyttelse.

Hold deg forsiktig med å starte trusler på Mac

Hvis du følger disse trinnene, vil du vite om nye trusler på forhånd og kan løse eventuelle problemer. Adware og PUPs stiger i popularitet, med nye varianter av skadelig programvare som kommer opp hele tiden.

Heldigvis har macOS mange måter å holde deg trygg på.

Trikset er å overvåke disse mappene og kjøre hyppige diagnostiske kontroller. Hvis du er i tvil, alltid Google de potensielt skadelige prosessnavnene. Men hvis du unngår feilene som smitter Macen din med skadelig programvare 5 enkle måter å infisere Mac med skadelig programvare 5 enkle måter å infisere Mac med skadelig programvare Du kan tro det er ganske vanskelig å infisere Mac med skadelig programvare, men det er alltid unntak. Her er fem måter du kan få datamaskinen til å bli skitten. Les mer, du bør ikke bekymre deg.

Utforsk mer om: Anti-Malware, Datasikkerhet, Mac Tips, .