Come catturare e rimuovere Hidden LaunchDaemons e LaunchAgent su Mac
Hai mai provato queste frustrazioni sul tuo Mac?
- Un'app viene visualizzata nella barra dei menu ma non negli elementi di accesso.
- Safari reindirizza a siti adware o cambia la sua homepage senza la tua autorizzazione.
- I processi sconosciuti consumano la CPU in background.
Sfortunatamente, con questi tipi di eventi imprevisti, rimuovere l'app dagli elementi di accesso non è sufficiente per risolvere il problema. Ci sono molti componenti nascosti sottostanti e Apple non li espone all'interfaccia macOS tipica.
Mostreremo come è possibile monitorare e agire contro questi elementi di accesso nascosti per risolvere problemi di Mac univoci.
Comprensione della routine di avvio di macOS
Quando premi il pulsante di accensione, il tuo Mac si avvia con una serie di eventi familiari:
- Si sente un suono di avvio udibile (i nuovi Mac non lo fanno).
- Il logo Apple appare insieme alla barra di avanzamento.
- Viene visualizzata la schermata di accesso al termine (o sul desktop se è stato abilitato il login automatico).
Dietro le quinte, macOS avvia il launchd processi. Questo è responsabile dell'avvio, dell'arresto e della gestione di ogni altro processo, incluso il sistema e i singoli account utente. Il processo è altamente ottimizzato e richiede solo pochi istanti.
Per esaminare questo te stesso, apri il Monitoraggio delle attività app e scegli Visualizza> Tutti i processi. In alto, vedrai due processi principali: kernel_task e launchd, con i loro ID di processo (PID) come 0 e 1.
Questo dimostra che launchd è il processo principale genitore all'avvio del sistema. È anche l'ultimo processo da chiudere quando il sistema si spegne.
La responsabilità principale di launchd è quello di avviare altri processi o processi su base pianificata o su richiesta. Questi sono disponibili in due tipi: LaunchDaemons e LaunchAgents.
Cosa sono LaunchDaemons e LaunchAgents?
LaunchDaemons viene eseguito come root, indipendentemente dal fatto che un utente abbia effettuato l'accesso o meno. Non possono visualizzare le informazioni utilizzando l'interfaccia utente grafica e influenzano l'intero sistema.
Ad esempio, il locationd processo rileva la posizione geografica del Mac, mentre bluetoothd processo gestisce Bluetooth. L'elenco dei daemon vive nelle seguenti posizioni:
/ System / Library / LaunchDaemons
per processi macOS nativi/ Library / LaunchDaemons
per le app di terze parti installate
I LaunchAgent si avviano quando un utente esegue l'accesso. A differenza dei daemon, possono accedere all'interfaccia utente e visualizzare le informazioni. Ad esempio, un'app di calendario può monitorare l'account del calendario dell'utente per gli eventi e avvisarti quando si verifica l'evento. L'elenco degli agenti risiede nelle seguenti posizioni:
/ Library / LaunchAgents
per tutti gli account utente~ / Library / LaunchAgents
per un account utente specifico/ System / Library / LaunchAgents
solo per macOS
Prima di accedere, launchd esegue servizi e altri componenti specificati nei file PLIST dalla cartella LaunchDaemon. Una volta effettuato l'accesso, launchd eseguirà servizi e componenti definiti nei file PLIST dalle cartelle LaunchAgents. Quelli dentro / System / Library fanno tutti parte di macOS e sono protetti da System Integrity Protection Cos'è SIP? Spiegazione della protezione dell'integrità del sistema macOS Che cos'è SIP? Spiegazione della protezione dell'integrità del sistema macOS Che cos'è la protezione dell'integrità del sistema sul tuo Mac? Spieghiamo cosa fa SIP e come influenza il software macOS. Leggi di più .
I file delle preferenze seguono il sistema standard di denominazione del dominio inverso. Inizia con il nome della società, seguito da un identificativo dell'applicazione e termina con l'estensione del file dell'elenco delle proprietà (.PLIST). Per esempio, at.obdev.LittleSnitchHelper.plist è il file di supporto per l'app LittleSnitch.
Come catturare LaunchDaemon e LaunchAgent
A differenza di quelli nel Sistema cartella, il pubblico LaunchDaemon e LaunchAgent le cartelle sono aperte ad app sia legittime che illegittime. È possibile monitorare automaticamente queste cartelle con Azioni cartella.
Apri il AppleScript Editor app cercandola in Spotlight. Clic Preferenze e scegliere Generale> Mostra menu Script nella barra dei menu.
Clicca il Menu Script icona e scegli Azioni cartella> Abilita azioni cartella. Quindi selezionare Allega script alla cartella in quello stesso menu.
Apparirà una finestra di dialogo. Da qui, seleziona aggiungi: nuovo avviso.
Clic ok per aprire una finestra del Finder. Ora seleziona la cartella LaunchDaemon dell'utente (elencata sopra) e fai clic su Scegliere.
Ripetere la procedura sopra descritta per ogni cartella LaunchAgents.
Al termine, apri Finder e fai clic Vai> Vai alla cartella o premere MAIUSC + Cmd + G per aprire la finestra di dialogo di navigazione. genere ~ / Library / LaunchAgents e fare clic Partire.
Fare clic con il tasto destro del mouse su LaunchAgents cartella e scegliere Servizi> Impostazione Azioni cartella per associare lo script di avviso nuovo elemento a ciascuna cartella.
Nella finestra di dialogo che si apre, vedrai l'elenco delle cartelle nella colonna sinistra e lo script nella colonna di destra. Se non vedi alcun script, fai clic su Più pulsante e aggiungi nuovo elemento alert.scpt.
Prendi in considerazione il monitoraggio di queste cartelle con le app
Se desideri alcune opzioni aggiuntive per gli avvisi su queste cartelle, puoi provare alcuni strumenti di terze parti.
EtreCheck è uno strumento di diagnostica macOS che visualizza lo stato di caricamento di LaunchDaemons e LaunchAgent di terze parti, tra le altre informazioni. Quando esegui EtreCheck, raccoglie una serie di informazioni sul tuo Mac 9 Dettagli essenziali da conoscere sul tuo Mac 9 Dettagli essenziali da conoscere sul tuo Mac Come utente Mac, devi conoscere alcuni dettagli sul tuo computer in caso tu abbia bisogno di la risoluzione dei problemi. Qui ci sono alcuni dettagli Mac fondamentali che dovresti controllare adesso. Leggi di più e lo presenta in un rapporto di facile lettura. Ha anche opzioni di aiuto aggiuntive quando si tratta di adware, demoni e agenti sospetti, file non firmati e altro.
Aprire EtreCheck e fare clic Scansione. Ci vorranno alcuni minuti e, una volta terminato, vedrai un riepilogo completo del tuo computer. Questo include problemi principali e minori, specifiche hardware, problemi di compatibilità del software, lo stato di LaunchDaemons e LaunchAgent e altro ancora.
L'app è gratuita per i primi cinque rapporti, quindi richiede un acquisto in-app da $ 10 per un uso continuato.
Lingon X è un altro strumento che ti consente di avviare un'applicazione, uno script o eseguire un comando automaticamente su una pianificazione. Può anche monitorare tutte le cartelle LaunchDaemons e LauchAgents in background e mostrare una notifica quando qualcosa cambia. Puoi vedere tutti gli oggetti graficamente e regolarli secondo necessità.
Questo strumento è gratuito e costa $ 15 per una licenza completa.
Come rimuovere LaunchDaemons e LaunchAgents
Il pubblico / Library / LaunchAgents e / Library / LaunchDaemons le cartelle sono vulnerabili alle app legittime e illegittime. Un'app legittima potrebbe utilizzarla per il marketing, mentre le app illegali possono utilizzarle per rubare dati e infettare il sistema.
Affinché adware e malware abbiano successo, devono persistere in ogni sessione utente. Per fare ciò, autori di malware e adware creano codice dannoso e lo inseriscono nella cartella LaunchAgent o LaunchDaemon. Ogni volta che inizia il tuo Mac, launchd farà in modo che il codice dannoso venga eseguito automaticamente. Per fortuna, le app di sicurezza possono aiutare a proteggerle.
Utilizza le app di sicurezza Mac
KnockKnock funziona sul principio della persistenza. Elenca le app installate in modo permanente e i relativi componenti in un'interfaccia chiara. Clicca il Scansione e KnockKnock eseguirà la scansione di tutte le posizioni note in cui potrebbe essere presente malware.
Il riquadro di sinistra contiene le categorie di app persistenti, con nomi e una breve descrizione. Fare clic su qualsiasi gruppo per visualizzare gli elementi nel riquadro di destra. Ad esempio, fare clic Articoli di lancio nel riquadro sinistro per visualizzare tutti gli oggetti LaunchAgent e LaunchDaemon.
Ogni riga fornisce informazioni dettagliate sull'app. Questo includeva lo stato firmato o non firmato, il percorso del file e i risultati della scansione antivirus di VirusTotal.
Un'altra app di sicurezza gratuita di Objective-See, BlockBlock controlla continuamente le posizioni di persistenza. L'app viene eseguita in background e mostra un avviso ogni volta che il malware aggiunge un componente persistente a macOS.
Tuttavia, non tutti i file PLIST di terze parti sono dannosi. Potrebbero venire da qualsiasi luogo, tra cui:
- Componenti delle app installate
- Resti di vecchie app che non usi più
- Rimanenze da precedenti aggiornamenti macOS
- Rimanenze di Migration Assistant
- PUP (programmi potenzialmente indesiderati), adware e malware.
Non si desidera eliminare alcun componente delle app installate. Tuttavia, è perfettamente sicuro rimuovere i residui di vecchie app e avanzi da precedenti aggiornamenti macOS (a meno che non si desideri continuare a utilizzare tali app).
Non esiste un processo di disinstallazione unico per questo: basta trascinare il file PLIST e riavviare. Oppure puoi tagliarlo e incollarlo sul tuo desktop per avere una copia e stare dalla parte della sicurezza. Non eliminare alcun elemento dal System LaunchAgents o LaunchDaemons le cartelle, in quanto sono necessarie per il corretto funzionamento di macOS.
Adware e PUP sono notoriamente difficili da affrontare. Ogni volta che si è in dubbio, eseguire la versione gratuita di Malwarebytes e considerare l'aggiornamento a Malwarebytes Premium se è necessaria una protezione aggiuntiva.
Stai attento alle minacce di lancio su Mac
Se segui questi passaggi, conoscerai le nuove minacce in anticipo e potrai risolvere qualsiasi problema. Adware e PUP stanno crescendo in popolarità, con nuove varianti di malware in arrivo tutto il tempo.
Per fortuna, macOS ha molti modi per tenerti al sicuro.
Il trucco è monitorare queste cartelle ed eseguire controlli diagnostici frequenti. In caso di dubbi, sempre su Google i nomi dei processi potenzialmente dannosi. Ma se si evitano gli errori che infettano il vostro Mac con malware 5 semplici modi per infettare il vostro Mac con malware 5 semplici modi per infettare il vostro Mac con malware Potreste pensare che sia piuttosto difficile infettare il vostro Mac con malware, ma ci sono sempre delle eccezioni. Ecco cinque modi in cui puoi sporcare il tuo computer. Per saperne di più, non dovresti aver bisogno di preoccuparti.
Scopri di più su: Anti-Malware, Computer Security, Mac Tips, .