Как поймать и удалить скрытые LaunchDaemons и LaunchAgents на Mac

Вы когда-нибудь испытывали эти разочарования на вашем Mac?

• Приложение появляется в строке меню, но не в элементах входа в систему.
• Safari перенаправляет на рекламные сайты или изменяет свою домашнюю страницу без вашего разрешения.
• Неизвестные процессы потребляют процессор в фоновом режиме.

К сожалению, при таких неожиданных событиях удаление приложения из элементов входа в систему недостаточно для решения проблемы. Существует множество скрытых компонентов, и Apple не предоставляет их в типичном интерфейсе macOS.

Мы покажем, как вы можете отслеживать и принимать меры против этих скрытых элементов входа в систему для устранения уникальных проблем Mac.

Понимание процедуры запуска macOS

Когда вы нажимаете кнопку питания, ваш Mac загружается с серией знакомых событий:

• Вы слышите слышимый звук при запуске (новые Mac не делают этого).
• Логотип Apple появляется вместе с индикатором выполнения.
• Вы увидите экран входа в систему после его завершения (или рабочий стол, если у вас включен автоматический вход в систему).

За кулисами MacOS запускает запуск программ процесс. Он отвечает за запуск, остановку и управление всеми другими процессами, включая системные и отдельные учетные записи пользователей. Процесс высоко оптимизирован и занимает всего несколько минут.

Чтобы проверить это самостоятельно, откройте Монитор активности приложение и выберите Просмотр> Все процессы. Вверху вы увидите два основных процесса: kernel_task а также запуск программ, с их идентификаторами процессов (PID) как а также 1.

Это показывает, что запуск программ является основным родительским процессом при запуске системы. Это также последний процесс, который необходимо завершить при выключении системы.

Основная ответственность запуск программ запускать другие процессы или задания по расписанию или по требованию. Они бывают двух типов: LaunchDaemons а также LaunchAgents.

Что такое LaunchDaemons и LaunchAgents?

LaunchDaemons обычно запускается от имени пользователя root, независимо от того, вошел ли пользователь в систему или нет. Они не могут отображать информацию с помощью графического интерфейса пользователя и влияют на всю систему.

Например, locationd процесс определяет географическое местоположение Mac, в то время как bluetoothd Процесс управляет Bluetooth. Список демонов живет в следующих локациях:

• / System / Library / LaunchDaemons для собственных процессов MacOS
• / Library / LaunchDaemons для установленных сторонних приложений

Агенты запуска запускаются, когда пользователь входит в систему. В отличие от демонов, они могут получать доступ к пользовательскому интерфейсу и отображать информацию. Например, приложение календаря может отслеживать учетную запись пользователя в календаре на наличие событий и уведомлять вас, когда событие происходит. Список агентов находится в следующих местах:

• / Library / LaunchAgents для всех учетных записей пользователей
• ~ / Library / LaunchAgents для конкретной учетной записи пользователя
• / System / Library / LaunchAgents только для macOS

Прежде чем войти, запуск программ запускает службы и другие компоненты, указанные в файлах PLIST, из папки LaunchDaemons. Как только вы вошли в систему, запуск программ запустит службы и компоненты, определенные в файлах PLIST, из папок LaunchAgents. Те в / System / Library все являются частью macOS и защищены защитой целостности системы

,

Файлы предпочтений соответствуют стандартной системе именования обратных доменов. Он начинается с названия компании, за которым следует идентификатор приложения, и заканчивается расширением файла списка свойств (.PLIST). Например, at.obdev.LittleSnitchHelper.plist вспомогательный файл для приложения LittleSnitch

Как поймать LaunchDaemons и LaunchAgents

В отличие от тех, кто в система папка, общедоступная LaunchDaemon а также LaunchAgent папки открыты как для легитимных, так и для нелегитимных приложений. Вы можете отслеживать эти папки автоматически с помощью Действия с папками.

Открой Редактор AppleScript приложение, выполнив поиск в Spotlight. Нажмите предпочтения и выбрать General> Show Script menu в строке меню.

Нажмите на Скрипт Меню значок и выберите Действия с папками> Включить действия с папками. Затем выберите Прикрепить скрипт к папке в том же меню.

Откроется диалоговое окно. Отсюда выберите добавить — оповещение о новом элементе.

Нажмите Хорошо открыть окно Finder. Теперь выберите пользовательскую папку LaunchDaemon (приведенную выше) и нажмите выберите.

Повторите вышеописанную процедуру для каждой папки LaunchAgents.

Когда закончите, откройте Finder и нажмите Перейти> Перейти в папку или нажмите Shift + Cmd + G открыть диалоговое окно навигации. Тип ~ / Library / LaunchAgents и нажмите Идти.

Щелкните правой кнопкой мыши LaunchAgents папку и выберите Сервисы> Настройка действий с папками привязать скрипт оповещения о новом элементе к каждой папке.

В появившемся диалоговом окне вы увидите список папок в левом столбце и скрипт в правом столбце. Если вы не видите никаких скриптов, нажмите плюс кнопка и добавить новый элемент alert.scpt.

Рассмотрите возможность мониторинга этих папок с помощью приложений

Если вам нужны дополнительные опции для оповещений в этих папках, попробуйте несколько сторонних инструментов.

EtreCheck — это диагностический инструмент macOS, который отображает состояние загрузки сторонних LaunchDaemons и LaunchAgents, помимо прочего. Когда вы запускаете EtreCheck, он собирает различную информацию о вашем Mac

и представляет его в удобном для чтения отчете. Он также имеет дополнительные параметры справки при работе с рекламным ПО, подозрительными демонами и агентами, неподписанными файлами и многим другим.

Откройте EtreCheck и нажмите сканирование. Это займет несколько минут, и как только это будет сделано, вы увидите полную сводку вашего компьютера. Это включает в себя основные и второстепенные проблемы, спецификации оборудования, проблемы совместимости программного обеспечения, состояние LaunchDaemons и LaunchAgents и многое другое.

Приложение бесплатно для первых пяти отчетов, а затем требует покупки в приложении за 10 долларов США для дальнейшего использования.

Lingon X — это еще один инструмент, который позволяет запускать приложение, скрипт или автоматически запускать команду по расписанию. Он также может отслеживать все папки LaunchDaemons и LauchAgents в фоновом режиме и показывать уведомление, когда что-то меняется. Вы можете увидеть все элементы графически и настроить их по мере необходимости.

Этот инструмент можно бесплатно попробовать и стоит 15 долларов за полную лицензию.

Как удалить LaunchDaemons и LaunchAgents

Публика / Library / LaunchAgents а также / Library / LaunchDaemons папки уязвимы как для легитимных, так и для нелегитимных приложений. Законное приложение может использовать его для маркетинга, в то время как нелегальные приложения могут использовать их для кражи данных и заражения системы.

Чтобы рекламное и вредоносное ПО были успешными, они должны сохраняться в каждом сеансе пользователя. Для этого авторы вредоносных и рекламных программ создают вредоносный код и помещают его в папку LaunchAgent или LaunchDaemon. Каждый раз, когда ваш Mac запускается, запуск программ гарантирует, что вредоносный код запускается автоматически. К счастью, приложения безопасности могут помочь защитить от этого.

Используйте Mac Security Apps

Бесплатный KnockKnock работает по принципу постоянства. Он перечисляет постоянно установленные приложения и их компоненты в аккуратном интерфейсе. Нажмите на сканирование Кнопка, и KnockKnock будет сканировать все известные места, где могут присутствовать вредоносные программы.

Левая панель содержит категории постоянных приложений, с именами и кратким описанием. Нажмите на любую группу, чтобы отобразить элементы в правой панели. Например, нажмите Launch Items в левой панели, чтобы просмотреть все LaunchAgents и LaunchDaemons.

Каждая строка дает подробную информацию о приложении. Сюда входит состояние подписи или неподписания, путь к файлу и результаты антивирусной проверки из VirusTotal.

BlockBlock — еще одно бесплатное приложение для обеспечения безопасности от Objective-See, которое постоянно отслеживает места сохранения. Приложение работает в фоновом режиме и показывает вам предупреждение, когда вредоносная программа добавляет постоянный компонент в MacOS.

Однако не все сторонние PLIST-файлы являются вредоносными. Они могут прийти откуда угодно, в том числе:

• Компоненты установленных приложений
• Остатки старых приложений, которые вы больше не используете
• Остатки от предыдущих обновлений macOS
• Остатки помощника по миграции
• Щенки (потенциально нежелательные программы), рекламное ПО и вредоносное ПО.

Вы не хотите удалять любые компоненты установленных приложений. Тем не менее, совершенно безопасно удалить остатки старых приложений и остатки от предыдущих обновлений macOS (если только вы не хотите продолжать использовать эти приложения).

Для этого не существует уникального процесса удаления — просто удалите файл PLIST и перезагрузите компьютер. Или вы можете вырезать и вставить его на рабочий стол, чтобы иметь копию и быть в безопасности. Не удаляйте какие-либо предметы из Агенты запуска системы или же LaunchDaemons папки, так как они требуются для бесперебойной работы macOS.

Adware и щенки общеизвестно сложно решать. В любое время, если у вас есть сомнения, запустите бесплатную версию Malwarebytes и рассмотрите возможность обновления до Malwarebytes Premium, если вам нужна дополнительная защита.

Будьте осторожны с угрозами запуска на Mac

Если вы выполните эти шаги, вы заранее узнаете о новых угрозах и сможете решить любые проблемы. Популярность рекламы и щенков растет, и постоянно появляются новые варианты вредоносных программ.

К счастью, у macOS есть много способов защитить вас.

Хитрость заключается в том, чтобы отслеживать эти папки и проводить частые диагностические проверки. Если вы сомневаетесь, всегда гуглите потенциально вредоносные имена процессов. Но если вы избежите ошибок, которые заражают ваш Mac вредоносным ПО

Вам не нужно беспокоиться.