Вы когда-нибудь испытывали эти разочарования на вашем Mac?
- Приложение появляется в строке меню, но не в элементах входа в систему.
- Safari перенаправляет на рекламные сайты или изменяет свою домашнюю страницу без вашего разрешения.
- Неизвестные процессы потребляют процессор в фоновом режиме .
К сожалению, при таких неожиданных событиях удаление приложения из элементов входа в систему недостаточно для решения проблемы. Существует много скрытых компонентов, и Apple не предоставляет их в типичном интерфейсе macOS.
Мы покажем, как вы можете отслеживать и принимать меры против этих скрытых элементов входа в систему для устранения уникальных проблем Mac.
Понимание процедуры запуска macOS
Когда вы нажимаете кнопку питания, ваш Mac загружается с серией знакомых событий:
- Вы слышите слышимый звук при запуске (новые Mac не делают этого).
- Логотип Apple появляется вместе с индикатором выполнения.
- Вы увидите экран входа в систему после его завершения (или рабочий стол, если у вас включен автоматический вход в систему).
За кулисами macOS запускает процесс запуска . Это отвечает за запуск, остановку и управление всеми другими процессами, включая системные и отдельные учетные записи пользователей. Процесс высоко оптимизирован и занимает всего несколько минут.
Чтобы проверить это самостоятельно, откройте приложение « Монитор активности» и выберите « Просмотр»> «Все процессы» . Вверху вы увидите два основных процесса: kernel_task и launchd , с их идентификаторами процессов (PID) как 0 и 1 .
Это показывает, что launchd является основным родительским процессом при запуске системы. Это также последний процесс, который необходимо завершить при выключении системы.
Основная обязанность launchd — запускать другие процессы или задания по расписанию или по требованию. Они бывают двух типов: LaunchDaemons и LaunchAgents .
Что такое LaunchDaemons и LaunchAgents?
LaunchDaemons обычно запускается как root, независимо от того, вошел ли пользователь в систему или нет. Они не могут отображать информацию с помощью графического интерфейса пользователя и влияют на всю систему.
Например, процесс определения местоположения обнаруживает географическое местоположение Mac, а процесс bluetoothd управляет Bluetooth. Список демонов живет в следующих локациях:
-
/System/Library/LaunchDaemonsдля собственных процессов macOS -
/Library/LaunchDaemonsдля установленных сторонних приложений
Агенты запуска запускаются, когда пользователь входит в систему. В отличие от демонов, они могут получать доступ к пользовательскому интерфейсу и отображать информацию. Например, приложение календаря может отслеживать учетную запись пользователя в календаре на наличие событий и уведомлять вас, когда событие происходит. Список агентов проживает в следующих местах:
-
/Library/LaunchAgentsдля всех учетных записей пользователей -
~/Library/LaunchAgentsдля конкретной учетной записи пользователя -
/System/Library/LaunchAgentsтолько для macOS
Перед входом в систему launchd запускает службы и другие компоненты, указанные в файлах PLIST, из папки LaunchDaemons. После входа в систему launchd запустит службы и компоненты, определенные в файлах PLIST, из папок LaunchAgents. Те, что находятся в / System / Library, являются частью macOS и защищены системой защиты целостности системы.
Файлы предпочтений соответствуют стандартной системе именования обратных доменов. Он начинается с названия компании, за которым следует идентификатор приложения, и заканчивается расширением файла списка свойств (.PLIST). Например, at.obdev.LittleSnitchHelper.plist является вспомогательным файлом для приложения LittleSnitch.
Как поймать LaunchDaemons и LaunchAgents
В отличие от папок в системной папке, общие папки LaunchDaemon и LaunchAgent открыты как для легитимных, так и для нелегитимных приложений. Вы можете отслеживать эти папки автоматически с помощью действий с папками.
Откройте приложение AppleScript Editor, выполнив поиск в Spotlight. Нажмите « Настройки» и выберите « Основные»> «Показать сценарий» в строке меню .
Щелкните значок « Меню сценариев» и выберите « Действия с папками»> «Включить действия с папками» . Затем выберите « Присоединить скрипт к папке» в этом же меню.
Откроется диалоговое окно. Отсюда выберите добавить — оповещение о новом элементе .
Нажмите OK, чтобы открыть окно Finder. Теперь выберите пользовательскую папку LaunchDaemon (указанную выше) и нажмите « Выбрать» .
Повторите описанную выше процедуру для каждой папки LaunchAgents.
Когда закончите, откройте Finder и нажмите « Перейти»> «Перейти к папке» или нажмите Shift + Cmd + G, чтобы открыть диалоговое окно навигации. Введите ~ / Library / LaunchAgents и нажмите Go .
Щелкните правой кнопкой мыши папку LaunchAgents и выберите « Службы»> «Настройка действий с папками», чтобы привязать сценарий оповещения о новом элементе к каждой папке.
В появившемся диалоговом окне вы увидите список папок в левом столбце и скрипт в правом столбце. Если вы не видите никаких скриптов, нажмите кнопку « Плюс» и добавьте новый элемент alert.scpt . 
Рассмотрите возможность мониторинга этих папок с помощью приложений
Если вам нужны дополнительные параметры для оповещений в этих папках, попробуйте несколько сторонних инструментов.
EtreCheck — это диагностический инструмент macOS, который отображает состояние загрузки сторонних LaunchDaemons и LaunchAgents, помимо прочего. Когда вы запускаете EtreCheck, он собирает различную информацию о вашем Mac и представьте его в удобном для чтения отчете. Он также имеет дополнительные параметры справки при работе с рекламным ПО, подозрительными демонами и агентами, неподписанными файлами и многим другим.
Откройте EtreCheck и нажмите « Сканировать» . Это займет несколько минут, и как только это будет сделано, вы увидите полную сводку вашего компьютера. Это включает в себя основные и второстепенные проблемы, спецификации оборудования, проблемы совместимости программного обеспечения, состояние LaunchDaemons и LaunchAgents и многое другое.
Приложение бесплатно для первых пяти отчетов, а затем требует покупки в приложении за 10 долларов США для дальнейшего использования.
Lingon X — это еще один инструмент, который позволяет запускать приложение, сценарий или автоматически запускать команду по расписанию. Он также может отслеживать все папки LaunchDaemons и LauchAgents в фоновом режиме и показывать уведомление, когда что-то меняется. Вы можете увидеть все элементы графически и настроить их по мере необходимости.
Этот инструмент можно бесплатно попробовать и стоит $ 15 за полную лицензию.
Как удалить LaunchDaemons и LaunchAgents
Публичные папки / Library / LaunchAgents и / Library / LaunchDaemons уязвимы как для легитимных, так и для нелегитимных приложений. Законное приложение может использовать его для маркетинга, в то время как нелегальные приложения могут использовать их для кражи данных и заражения системы.
Чтобы рекламное и вредоносное ПО были успешными, они должны сохраняться в каждом сеансе пользователя. Для этого авторы вредоносных и рекламных программ создают вредоносный код и помещают его в папку LaunchAgent или LaunchDaemon. Каждый раз, когда ваш Mac запускается, launchd гарантирует, что вредоносный код запускается автоматически. К счастью, приложения безопасности могут помочь защитить от этого.
Используйте Mac Security Apps
Бесплатный KnockKnock работает по принципу постоянства. Он перечисляет постоянно установленные приложения и их компоненты в аккуратном интерфейсе. Нажмите кнопку « Сканировать» , и KnockKnock будет сканировать все известные местоположения, в которых может присутствовать вредоносное ПО.
Левая панель содержит категории постоянных приложений, с именами и кратким описанием. Нажмите на любую группу, чтобы отобразить элементы в правой панели. Например, нажмите Launch Items на левой панели, чтобы просмотреть все LaunchAgents и LaunchDaemons.
Каждая строка дает подробную информацию о приложении. Сюда входит состояние со знаком или без знака, путь к файлу и результаты антивирусной проверки из VirusTotal.
BlockBlock — еще одно бесплатное приложение для обеспечения безопасности от Objective-See , которое постоянно отслеживает места сохранения. Приложение работает в фоновом режиме и показывает предупреждение, когда вредоносная программа добавляет постоянный компонент в macOS.
Однако не все сторонние PLIST-файлы являются вредоносными. Они могут прийти откуда угодно, в том числе:
- Компоненты установленных приложений
- Остатки старых приложений, которые вы больше не используете
- Остатки от предыдущих обновлений macOS
- Миграция Помощник остатки
- Щенки (потенциально нежелательные программы), рекламное ПО и вредоносное ПО.
Вы не хотите удалять какие-либо компоненты установленных приложений. Однако совершенно безопасно удалить остатки старых приложений и остатки от предыдущих обновлений macOS (если только вы не хотите продолжать использовать эти приложения).
Для этого нет уникального процесса удаления — просто удалите файл PLIST и перезагрузите компьютер. Или вы можете вырезать и вставить его на рабочий стол, чтобы иметь копию и быть в безопасности. Не удаляйте элементы из папок System LaunchAgents или LaunchDaemons , так как они необходимы для бесперебойной работы macOS.
Adware и щенки общеизвестно сложно решать. Если у вас есть сомнения, запустите бесплатную версию Malwarebytes и рассмотрите возможность обновления до Malwarebytes Premium, если вам нужна дополнительная защита.
Будьте осторожны с угрозами запуска на Mac
Если вы выполните эти шаги, вы заранее узнаете о новых угрозах и сможете решить любые проблемы. Популярность рекламы и щенков растет, и постоянно появляются новые варианты вредоносных программ.
К счастью, у macOS есть много способов защитить вас .
Хитрость заключается в том, чтобы отслеживать эти папки и проводить частые диагностические проверки. Если вы сомневаетесь, всегда гуглите потенциально вредоносные имена процессов. Но если вы избежите ошибок, которые заражают ваш Mac вредоносным ПО заражения вашего Mac вредоносным ПО заражения вашего Mac вредоносным ПО , вам не нужно беспокоиться.