Sådan fanges og fjerner du skjulte lanceringsDaemons og LaunchAgents på Mac

LaunchDaemons og LaunchAgents, som lancerer software automatisk ved login, kan have en mørk side. Sådan overvåger du dem og holder dig sikker.

LaunchDaemons og LaunchAgents, som lancerer software automatisk ved login, kan have en mørk side.  Sådan overvåger du dem og holder dig sikker.
Reklame

Har du nogensinde oplevet disse frustrationer på din Mac?

  • En app vises i menulinjen, men ikke i dine login-elementer.
  • Safari omdirigerer til adware-websteder eller ændrer sin hjemmeside uden din tilladelse.
  • Ukendte processer forbruger CPU i baggrunden.

Desværre er det ikke nok med disse typer af uventede hændelser at fjerne appen fra login-elementer til at løse problemet. Der er mange underliggende skjulte komponenter, og Apple udsætter dem ikke i den typiske macOS-grænseflade.

Vi viser, hvordan du kan overvåge og gøre noget imod disse skjulte login-elementer for at fejle unikke Mac-problemer.

Forstå MacOS Startup Routine

Når du trykker på tænd / sluk-knappen, starter din Mac op med en række velkendte hændelser:

  • Du hører en hørbar start lyd (nyere Mac'er gør det ikke).
  • Apples logo vises sammen med statuslinjen.
  • Du ser login-skærmen vises, når dette er færdig (eller skrivebordet, hvis du har automatisk login aktiveret).

Bag kulisserne starter macOS lanceringsprocessen . Dette er ansvarligt for at starte, stoppe og styre hver anden proces, herunder system og individuelle brugerkonti. Processen er meget optimeret og tager kun få øjeblikke.

Hvis du vil undersøge dette selv, skal du åbne appen Aktivitetsovervågning og vælge Vis> Alle processer . Øverst ses to hovedprocesser: kernel_task og launchd, med deres proces-id'er (PID) som 0 og 1 .

Dette viser, at launchd er den primære forældreproces, når systemet starter. Det er også den sidste proces at afslutte, når systemet lukker.

launcd proces i Activity Monitor

Kernansvaret for lancering er at lancere andre processer eller job på planlagt eller efterspørgselsbasis. Disse kommer i to typer: LaunchDaemons og LaunchAgents .

Hvad er LaunchDaemons og LaunchAgents?

LaunchDaemons kører typisk som root, uanset om en bruger er logget ind eller ej. De kan ikke vise information ved hjælp af den grafiske brugergrænseflade og påvirke hele systemet.

Lokaliseringsprocessen registrerer f.eks. Den geografiske placering af Mac'en, mens bluetoothd- processen håndterer Bluetooth. Listen over dæmoner lever på følgende steder:

  • /System/Library/LaunchDaemons for native macOS processer
  • /Library/LaunchDaemons for installerede tredjepartsapps

LaunchDaemons-mappen Mac

LaunchAgents starter, når en bruger logger ind. I modsætning til dæmoner kan de få adgang til brugergrænsefladen og vise information. For eksempel kan en kalenderapp overvåge brugerens kalenderkonto for begivenheder og underrette dig, når begivenheden opstår. Listen over agenter lever på følgende steder:

  • /Library/LaunchAgents for alle brugerkonti
  • ~/Library/LaunchAgents til en bestemt brugerkonto
  • /System/Library/LaunchAgents til macOS

LaunchAgents-mappen Mac

Før du logger ind, kører launchd tjenester og andre komponenter, der er angivet i PLIST-filer fra mappen LaunchDaemons. Når du har logget ind, vil launchd køre tjenester og komponenter defineret i PLIST-filer fra mapperne LaunchAgents. De i / System / Library er alle en del af macOS og beskyttet af system integritetsbeskyttelse Sådan deaktiveres system integritetsbeskyttelse (og hvorfor du ikke bør) Sådan deaktiveres system integritetsbeskyttelse (og hvorfor du ikke bør) Der er flere grunde til at Lad MacOS 'System Integrity Protection være på, så sluk det, men det er nemt at slukke for det. Læs mere .

Foretrukne filerne følger standardnavnet til omvendt domæne. Det begynder med firmanavnet, efterfulgt af en applikationsidentifikator, og slutter med egenskabslisten filtypenavn (.PLIST). For eksempel er at.obdev.LittleSnitchHelper.plist hjælperfilen til LittleSnitch-appen.

System LaunchAgents-mappen Mac

Sådan Catch LaunchDaemons og LaunchAgents

I modsætning til dem i mappen System er de offentlige LaunchDaemon og LaunchAgent- mapper åbne for både legitime og illegitime apps. Du kan automatisk overvåge disse mapper med mappehandlinger.

Åbn AppleScript Editor- appen ved at søge efter den i Spotlight. Klik på Indstillinger, og vælg Generelt> Vis scriptmenu i menulinjen .

aktiver scriptmenuen i menulinjen Mac

Klik på scriptmenuikonet, og vælg Mappehandlinger> Aktivér mappehandlinger . Vælg derefter Vedhæft script til mappe i samme menu.

Vedhæft script til mappe i opsætningen af ​​mappehandlinger Mac

En dialogboks vises. Herfra skal du vælge add - new item alert .

vælg den nye varslingsindstilling Mac

Klik på OK for at åbne et Finder-vindue. Vælg nu LaunchDaemon-mappen (angivet ovenfor) og klik på Vælg .

vælg launchdemon-mappen til mappehandling Mac

Gentag ovenstående procedure for hver LaunchAgents-mappe.

Når du er færdig, skal du åbne Finder og klikke på Gå> Gå til mappe eller trykke på Skift + Cmd + G for at åbne navigationsdialogboksen. Skriv ~ / Bibliotek / LaunchAgents og klik på .

Finder Gå til Folder LaunchAgents

Højreklik på mappen LaunchAgents, og vælg Tjenester> Opsætning af mappehandlinger for at binde det nye varslingsskript til hver mappe.

vælg opsætningen af ​​mappehandlinger for at binde scriptet Mac

I dialogboksen, der dukker op, kan du se listen over mapper i den venstre kolonne og scriptet i den højre kolonne. Hvis du ikke ser nogen scripts, skal du klikke på plusknappen og tilføje nyt element alert.scpt .
Opsætning af mappehandlinger fra dialogvinduet Mac

Overvej Overvågning af disse mapper med apps

Hvis du vil have yderligere muligheder for advarsler om disse mapper, kan du prøve et par tredjepartsværktøjer.

EtreCheck er et macOS diagnostisk værktøj, der viser belastningsstatus for tredjeparts LaunchDaemons og LaunchAgents, blandt andet info. Når du kører EtreCheck, samler den en række oplysninger om din Mac 9 Nødvendige detaljer, du skal vide om din Mac 9 Nødvendige detaljer, du skal vide om din Mac Som en Mac-bruger skal du vide visse detaljer om din computer, hvis du har brug for fejlfinding. Her er flere vigtige Mac-detaljer, du bør tjekke lige nu. Læs mere og præsenterer det i en letlæselig rapport. Det har også ekstra hjælpemuligheder, når du beskæftiger dig med adware, mistænkelige daemoner og agenter, usignerede filer og meget mere.

Åbn EtreCheck og klik på Scan . Det tager et par minutter, og når det er færdigt, vil du se et komplet resumé af din computer. Dette omfatter større og mindre problemer, hardwarespecifikation, softwarekompatibilitetsproblemer, status for LaunchDaemons og LaunchAgents og meget mere.

Appen er gratis for de første fem rapporter, og kræver derefter et køb på $ 10 i app for fortsat brug.

etrecheck genererende rapport Mac

Lingon X er et andet værktøj, der lader dig starte en app, et script eller køre en kommando automatisk på en tidsplan. Det kan også overvåge alle LaunchDaemons og LauchAgents-mapper i baggrunden og vise en meddelelse, når noget ændres. Du kan se alle elementerne grafisk og justere dem efter behov.

Dette værktøj er gratis at prøve, og koster $ 15 for en fuld licens.

Lingon X-interface Mac

Sådan fjerner du LaunchDaemons og LaunchAgents

Folkebiblioteket / Bibliotek / LaunchAgents og / Library / LaunchDaemons er sårbare over for både legitime og illegitime apps. En legitim app kan bruge den til markedsføring, mens ulovlige apps kan bruge dem til at stjæle data og inficere systemet.

For at adware og malware skal kunne lykkes, skal de fortsætte i hver brugersession. For at gøre dette opretter malware og adware forfattere ondsindet kode og sætter det i mappen LaunchAgent eller LaunchDaemon. Hver gang din Mac starter, vil launchd sikre, at den ondsindede kode kører automatisk. Heldigvis kan sikkerheds apps hjælpe med at beskytte mod dette.

Brug Mac Security Apps

Den gratis KnockKnock arbejder på persistensprincippet. Det lister vedvarende installerede apps og deres komponenter i en pæn grænseflade. Klik på knappen Scan, og KnockKnock scanner alle kendte steder, hvor malware kan være til stede.

Den venstre rude indeholder kategorierne af vedholdende apps, med navne og en kort beskrivelse. Klik på en gruppe for at vise emnerne i højre rude. Klik for eksempel på Start varer i venstre rude for at se alle LaunchAgents og LaunchDaemons.

knockknock brugergrænseflade Mac

Hver række giver detaljerede oplysninger om appen. Dette indeholdt signeret eller usigneret status, stien til filen og antivirus scanningsresultater fra VirusTotal.

En anden gratis sikkerhedsapp fra Objective-See, BlockBlock overvåger løbende persistenssteder. Appen kører i baggrunden og viser dig en advarsel, når malware tilføjer en vedvarende komponent til macOS.

Blockblock app alert

Ikke alle tredjeparts PLIST-filer er ondsindede. De kunne komme fra hvor som helst, herunder:

  • Komponenter af installerede apps
  • Rester af gamle apps, du ikke længere bruger
  • Overførsler fra tidligere MacOS-opgraderinger
  • Overførsler til migrationsassistent
  • PUP'er (potentielt uønskede programmer), adware og malware.

Du vil ikke slette nogen komponenter i installerede apps. Det er dog helt sikkert at fjerne rester af gamle apps og rester fra tidligere MacOS-opgraderinger (medmindre du vil fortsætte med at bruge disse apps).

Der er ingen enestående afinstallationsproces for dette - simpelthen papirkurven PLIST-filen og genstart. Eller du kan klippe og indsætte det på skrivebordet for at få en kopi og være på den sikre side. Slet ikke elementer fra mapperne System LaunchAgents eller LaunchDaemons, da de er nødvendige for, at macOS kan køre problemfrit.

Adware og PUP'er er notorisk udfordrende at tackle. Når du er i tvivl, kør den gratis version af Malwarebytes og overveje at opgradere til Malwarebytes Premium, hvis du har brug for ekstra beskyttelse.

Malwarebytes gratis Mac

Hold dig forsigtig med at starte trusler på Mac

Hvis du følger disse trin, vil du vide om nye trusler forud for tiden og løse eventuelle problemer. Adware og PUP'er stiger i popularitet, med nye varianter af malware kommer op hele tiden.

Heldigvis har macOS masser af måder at holde dig sikker på.

Tricket er at overvåge disse mapper og køre hyppige diagnostiske checks. Hvis du er i tvivl, altid Google de potentielt skadelige procesnavne. Men hvis du undgår de fejl, der inficerer din Mac med malware 5 Easy Ways at inficere din Mac med malware 5 enkle måder at inficere din Mac med malware Du tror måske, det er ret svært at inficere din Mac med malware, men der er altid undtagelser. Her er fem måder, hvorpå du kan få din computer beskidt. Læs mere, du skal ikke bekymre dig.

In this article