Hvordan fange og fjerne skjulte lanseringsdemoer og lanseringsagenter på Mac

LaunchDaemons og LaunchAgents, som starter programvare automatisk ved innlogging, kan ha en mørk side. Slik overvåker du dem og holder deg trygge.

LaunchDaemons og LaunchAgents, som starter programvare automatisk ved innlogging, kan ha en mørk side.  Slik overvåker du dem og holder deg trygge.
Annonse

Har du noen gang opplevd disse frustrasjonene på din Mac?

  • En app vises i menylinjen, men ikke i innloggingselementene dine.
  • Safari omadresserer til adware-nettsteder eller endrer sin hjemmeside uten din tillatelse.
  • Ukjente prosesser bruker CPU i bakgrunnen.

Dessverre, med disse typer uventede hendelser, er det ikke nok å fjerne appen fra påloggingselementene for å løse problemet. Det er mange underliggende skjulte komponenter, og Apple avslører ikke dem i det typiske MacOS-grensesnittet.

Vi viser hvordan du kan overvåke og håndtere disse skjulte påloggingselementene for å feilsøke unike Mac-problemer.

Forstå MacOS Startup Routine

Når du trykker på strømknappen, starter Macen opp med en rekke kjente hendelser:

  • Du hører en hørbar oppstartsljud (nyere Macer gjør ikke dette).
  • Apple-logoen vises sammen med fremdriftslinjen.
  • Du ser påloggingsskjermen vises når dette er fullført (eller skrivebordet hvis du har automatisk pålogging aktivert).

Bak kulissene starter macOS lanseringsprosessen . Dette er ansvarlig for å starte, stoppe og administrere alle andre prosesser, inkludert system og individuelle brukerkontoer. Prosessen er svært optimalisert og tar bare noen få øyeblikk.

For å undersøke dette selv, åpne Aktivitetsmonitor- appen, og velg Vis> Alle prosesser . På toppen finner du to hovedprosesser: kernel_task og launchd, med deres prosess ID (PID) som 0 og 1 .

Dette viser at launchd er den primære foreldreprosessen når systemet starter. Det er også den siste prosessen å gå ut når systemet slår seg av.

launcd prosess i Activity Monitor

Kjerneansvaret for lanseringen er å starte andre prosesser eller jobber på en planlagt eller på forespørsel. Disse kommer i to typer: LaunchDaemons og LaunchAgents .

Hva er LaunchDaemons og LaunchAgents?

LaunchDaemons kjører vanligvis som root, uansett om en bruker er logget inn eller ikke. De kan ikke vise informasjon ved hjelp av det grafiske brukergrensesnittet og påvirke hele systemet.

For eksempel registrerer lokaliseringsprosessen den geografiske plasseringen til Mac, mens bluetoothd- prosessen håndterer Bluetooth. Listen over daemoner lever på følgende steder:

  • /System/Library/LaunchDaemons for native macOS prosesser
  • /Library/LaunchDaemons for installerte tredjepartsapper

LaunchDaemons-mappen Mac

LaunchAgents starter når en bruker logger på. I motsetning til daemoner, kan de få tilgang til brukergrensesnittet og vise informasjon. For eksempel kan en kalenderapp overvåke brukerens kalenderkonto for hendelser og varsle deg når hendelsen oppstår. Listen over agenter lever på følgende steder:

  • /Library/LaunchAgents for alle brukerkontoer
  • ~/Library/LaunchAgents for en bestemt brukerkonto
  • /System/Library/LaunchAgents for macOS bare

LaunchAgents-mappen Mac

Før du logger på, kjører launchd tjenester og andre komponenter spesifisert i PLIST-filer fra LaunchDaemons-mappen. Når du har logget inn, vil launchd kjøre tjenester og komponenter som er definert i PLIST-filer fra LaunchAgents-mappene. De i / System / Bibliotek er alle en del av MacOS og beskyttet av System Integrity Protection. Slik deaktiverer du systemintegritetsbeskyttelse (og hvorfor du ikke bør). Slik deaktiverer du systemintegritetsbeskyttelse (og hvorfor du ikke burde). Det er flere grunner til å la MacOS 'System Integrity Protection være på enn slå den av, men å slå den av er lett. Les mer .

Innstillingsfilene følger standardnavnet for omvendt domenenavn. Den begynner med firmanavnet, etterfulgt av en applikasjonsidentifikator, og slutter med egenskapslisten filtypenavn (.PLIST). For eksempel, at.obdev.LittleSnitchHelper.plist er hjelpefilen for LittleSnitch-appen.

System LaunchAgents-mappen Mac

Hvordan fange LaunchDaemons og LaunchAgents

I motsetning til de i systemmappen er de offentlige LaunchDaemon- og LaunchAgent- mappene åpne for både legitime og illegitime apper. Du kan overvåke disse mappene automatisk med mappehandlinger.

Åpne AppleScript Editor- appen ved å søke etter den i Spotlight. Klikk Innstillinger og velg Generelt> Vis skriptmeny i menylinjen .

aktiver scriptmenyen i menylinjen Mac

Klikk på Skriptmeny- ikonet og velg Mappehandlinger> Aktiver mappehandlinger . Deretter velger du Vedlegg skript til mappe i samme meny.

Legg ved skript til mappe i oppsett av mappehandlinger Mac

En dialogboks vil dukke opp. Herfra velger du add - new item alert .

velg nytt elementvarslingsalternativ Mac

Klikk på OK for å åpne et Finder-vindu. Velg nå bruker LaunchDaemon-mappen (oppført ovenfor) og klikk Velg .

velg launch launchemappen for mappehandling Mac

Gjenta prosedyren ovenfor for hver LaunchAgents-mappe.

Når du er ferdig, åpne Finder og klikk på Gå> Gå til mappe eller trykk Shift + Cmd + G for å åpne navigasjonsdialogboksen. Skriv ~ / Bibliotek / LaunchAgents og klikk på Go .

Finder Gå til Folder LaunchAgents

Høyreklikk mappen LaunchAgents, og velg Tjenester> Mappehandlinger for å binde det nye varselskriptet til hver enkelt mappe.

Velg innstillingene for mappehandlinger for å binde skriptet Mac

I dialogboksen som dukker opp, ser du listen over mapper i venstre kolonne og skript i den høyre kolonnen. Hvis du ikke ser noen skript, klikker du på Pluss- knappen og legger til nytt element alert.scpt .
Oppsett av mappehandlinger fra dialogvinduet Mac

Vurder å overvåke disse mappene med Apps

Hvis du vil ha flere alternativer for varsler på disse mappene, kan du prøve noen tredjepartsverktøy.

EtreCheck er et macOS diagnostisk verktøy som viser laststatusen til tredjeparts LaunchDaemons og LaunchAgents, blant annet info. Når du kjører EtreCheck, samles det en rekke opplysninger om din Mac 9 Viktige detaljer du må vite om din Mac 9 Viktige detaljer Du må vite om Mac-en din Som en Mac-bruker må du vite visse detaljer om datamaskinen din dersom du trenger å feilsøke. Her er flere viktige Mac-detaljer du bør sjekke akkurat nå. Les mer og presenter den i en lettlest rapport. Det har også flere hjelpemuligheter når det gjelder adware, mistenkelige daemoner og agenter, usignerte filer og mer.

Åpne EtreCheck og klikk Scan . Dette vil ta noen minutter, og når det er gjort, vil du se et fullstendig sammendrag av datamaskinen din. Dette inkluderer store og mindre problemer, maskinvarespesifikasjon, programvarekompatibilitetsproblemer, status for LaunchDaemons og LaunchAgents, og mer.

Appen er gratis for de fem første rapportene, og krever deretter et kjøp på $ 10 i app for fortsatt bruk.

etrecheck genererer rapport Mac

Lingon X er et annet verktøy som lar deg starte en app, et skript eller kjøre en kommando automatisk på en tidsplan. Den kan også overvåke alle LaunchDaemons og LauchAgents-mappene i bakgrunnen og vise varsel når noe endres. Du kan se alle elementene grafisk og justere dem etter behov.

Dette verktøyet er gratis å prøve, og koster $ 15 for et fullstendig lisens.

Lingon X-grensesnitt Mac

Slik fjerner du LaunchDaemons og LaunchAgents

Folkebiblioteket / Bibliotek / LaunchAgents og / Library / LaunchDaemons er sårbare for både legitime og illegitime apper. En legitim app kan bruke den til markedsføring, mens ulovlige apper kan bruke dem til å stjele data og infisere systemet.

For at adware og malware skal lykkes, må de fortsette i hver brukersøkt. For å gjøre dette skaper malware og adware forfattere skadelig kode og legger den i LaunchAgent eller LaunchDaemon-mappen. Hver gang Macen starter, vil launchd sikre at skadelig kode kjører automatisk. Heldigvis kan sikkerhetsapplikasjoner beskytte seg mot dette.

Bruk Mac Security Apps

Den gratis KnockKnock virker på prinsippet om utholdenhet. Den viser vedvarende installerte apper og deres komponenter i et pent grensesnitt. Klikk på Scan- knappen, og KnockKnock vil skanne alle kjente steder der malware kan være tilstede.

Den venstre ruten inneholder kategoriene av vedvarende apps, med navn og en kort beskrivelse. Klikk på en hvilken som helst gruppe for å vise elementene i den høyre ruten. For eksempel, klikk på Start elementer i venstre rute for å vise alle LaunchAgents og LaunchDaemons.

knockknock brukergrensesnitt Mac

Hver rad gir detaljert informasjon om appen. Dette inkluderte signert eller usignert status, banen til filen, og antivirus scanresultater fra VirusTotal.

En annen gratis sikkerhetsapp fra Objective-See, BlockBlock overvåker kontinuerlig persistenssteder. Appen kjører i bakgrunnen og viser deg et varsel når malware legger til en vedvarende komponent til macOS.

Blockblock app alert

Ikke alle tredjeparts PLIST-filer er skadelige, skjønt. De kunne komme fra hvor som helst, inkludert:

  • Komponenter av installerte apper
  • Rester av gamle apper du ikke lenger bruker
  • Rester fra tidligere MacOS-oppgraderinger
  • Flyttingsassistentrester
  • PUP (potensielt uønskede programmer), adware og malware.

Du vil ikke slette noen komponenter av installerte apper. Det er imidlertid helt trygt å fjerne restene av gamle apper og rester fra tidligere MacOS-oppgraderinger (med mindre du vil fortsette å bruke disse appene).

Det er ikke noe unikt avinstalleringsprosess for dette - bare ødelegge PLIST-filen og start på nytt. Eller du kan klippe og lime den inn på skrivebordet ditt for å få en kopi og være på den sikre siden. Ikke slett noen elementer fra mappene System LaunchAgents eller LaunchDaemons, da de kreves for at macOS skal kunne fungere jevnt.

Adware og PUP er notorisk utfordrende å takle. Når du er i tvil, kjør den gratis versjonen av Malwarebytes og vurder å oppgradere til Malwarebytes Premium hvis du trenger ekstra beskyttelse.

Malwarebytes gratis Mac

Hold deg forsiktig med å starte trusler på Mac

Hvis du følger disse trinnene, vil du vite om nye trusler på forhånd og kan løse eventuelle problemer. Adware og PUPs stiger i popularitet, med nye varianter av skadelig programvare som kommer opp hele tiden.

Heldigvis har macOS mange måter å holde deg trygg på.

Trikset er å overvåke disse mappene og kjøre hyppige diagnostiske kontroller. Hvis du er i tvil, alltid Google de potensielt skadelige prosessnavnene. Men hvis du unngår feilene som smitter Macen din med skadelig programvare 5 enkle måter å infisere Mac med skadelig programvare 5 enkle måter å infisere Mac med skadelig programvare Du kan tro det er ganske vanskelig å infisere Mac med skadelig programvare, men det er alltid unntak. Her er fem måter du kan få datamaskinen til å bli skitten. Les mer, du bør ikke bekymre deg.

In this article