У LaunchDaemons и LaunchAgents может быть темная сторона. Вот как контролировать их и обеспечить безопасность вашего Mac
Скрытые элементы входа в систему могут создавать всевозможные проблемы для пользователей Mac. Приложение может отображаться в строке меню, но не отображаться в элементах входа в систему.Safari может перенаправлять на рекламные сайты или менять домашнюю страницу без вашего разрешения. А неизвестные процессы могут перегружать системные ресурсы в фоновом режиме
К сожалению, при таких неожиданных событиях удаления приложения из пунктов входа недостаточно для решения проблемы. Это происходит потому, что существуют скрытые LaunchDaemons и LaunchAgents, которые не доступны через типичный интерфейс macOS
Здесь мы покажем, как можно отслеживать и принимать меры против этих скрытых LaunchDaemons и LaunchAgents для устранения уникальных проблем Mac
Понимание маршрута запуска macOS
Когда вы нажимаете кнопку питания, ваш Mac загружается, и происходит ряд знакомых событий:
За кулисами macOS запускает процесс launchd. Он отвечает за запуск, остановку и управление всеми другими процессами, включая систему и отдельные учетные записи пользователей. Этот процесс хорошо оптимизирован и занимает всего несколько мгновений
Чтобы проверить это самостоятельно, откройте приложение Activity Monitor и выберите View > All Processes. В верхней части вы увидите два основных процесса: kernel_task и launchd , с их идентификаторами процессов (PID) 0 и 1
Это показывает, что launchd является основным родительским процессом при запуске системы. Он также является последним процессом, который завершается при выключении системы
Основной обязанностью launchd является запуск других процессов или заданий по расписанию или по требованию. Они бывают двух типов: LaunchDaemons и LaunchAgents
Что такое LaunchDaemons и LaunchAgents?
LaunchDaemons обычно запускаются от имени root, то есть они работают независимо от того, вошел пользователь в систему или нет. Они не могут отображать информацию с помощью графического интерфейса пользователя и влияют на всю систему
Например, процесс locationd определяет географическое положение Mac, а процесс bluetoothd управляет Bluetooth. Список демонов находится в следующих местах:
Mac LaunchAgents запускаются при входе пользователя в систему. В отличие от демонов, они могут получать доступ к пользовательскому интерфейсу и отображать информацию. Например, приложение календаря может отслеживать события в учетной записи календаря пользователя и уведомлять о наступлении события. Списки агентов находятся в следующих местах:
Перед входом в систему launchd запускает службы и другие компоненты, указанные в файлах .plist из папки LaunchDaemons. После того как вы вошли в систему, launchd запустит службы и компоненты, определенные в файлах .plist из папок LaunchAgents. Файлы в папке /System/Library являются частью macOS и защищены системой System Integrity Protection
Файлы предпочтений.plist следуют стандартной системе именования обратного домена. Она начинается с названия компании, затем следует идентификатор приложения, и заканчивается расширением файла списка свойств (.plist). Например, co.clario.Clario.plist – это вспомогательный файл для приложения Clario
Как поймать LaunchDaemons и LaunchAgents
В отличие от папок System , общедоступные папки LaunchDaemon и LaunchAgent открыты как для легитимных, так и для нелегитимных приложений. Вы можете контролировать эти папки автоматически с помощью Folder Actions
Откройте приложение AppleScript Editor , найдя его в Spotlight. Нажмите Параметры и выберите Общие > Показать меню сценариев в строке меню
Щелкните на значке Меню сценариев и выберите Действия с папками > Включить действия с папками. Затем в том же меню выберите Attach Script to Folder
Появится диалоговое окно. В нем выберите add – new item alert
Нажмите OK , чтобы открыть окно Finder. Теперь выберите папку пользователя LaunchDaemon (указанную выше) и нажмите Выбрать
Повторите описанную выше процедуру для каждой папки LaunchAgents на вашем Mac
После этого откройте Finder и нажмите Go > Go to Folder или нажмите Shift + Cmd + G , чтобы открыть диалоговое окно навигации. Введите ~/Library/LaunchAgents и нажмите Go
Щелкните правой кнопкой мыши папку LaunchAgents и выберите Services > Folder Actions Setup , чтобы привязать сценарий оповещения о новых элементах к каждой папке
В появившемся диалоговом окне вы увидите список папок в левой колонке и скрипт в правой колонке. Если вы не видите никаких скриптов, нажмите кнопку плюс ( + ) и добавьте новый элемент alert.scpt
После выполнения этих действий macOS будет показывать всплывающее окно предупреждения каждый раз, когда в одну из этих папок добавляется новый элемент, что позволит вам обнаружить любые незаконные приложения, которые пытаются внедриться в вашу систему в фоновом режиме
Рассмотрите возможность мониторинга этих папок с помощью приложений
Если вам нужны дополнительные возможности для оповещения об этих папках, вы можете попробовать несколько сторонних инструментов
EtreCheck – это инструмент диагностики macOS, который отображает состояние загрузки сторонних LaunchDaemons и LaunchAgents, а также другую информацию. Когда вы запускаете EtreCheck, он собирает разнообразную информацию о вашем Mac и представляет ее в виде удобного для чтения отчета. В программе также есть дополнительные опции помощи при работе с рекламным ПО, подозрительными демонами и агентами, неподписанными файлами и т.д
Откройте EtreCheck и нажмите Сканировать. Это займет несколько минут, и по окончании вы увидите полную сводку о состоянии вашего компьютера. Сюда входят основные и второстепенные проблемы, спецификации оборудования, проблемы совместимости программного обеспечения, состояние LaunchDaemons и LaunchAgents и многое другое
Приложение бесплатно для первых пяти отчетов, затем для дальнейшего использования требуется покупка приложения за $17,99
Lingon X – это еще один инструмент, позволяющий запускать приложения, скрипты или выполнять команды автоматически по расписанию. Он также может отслеживать все папки LaunchDaemons и LauchAgents в фоновом режиме и показывать уведомление, когда что-то меняется. Вы можете увидеть все элементы в графическом виде и настроить их по мере необходимости
Этот инструмент можно попробовать бесплатно, но полная лицензия стоит $14,99
Как удалить LaunchDaemons и LaunchAgents
Публичные папки /Library/LaunchAgents и /Library/LaunchDaemons уязвимы как для легитимных, так и для нелегитимных приложений. Легитимное приложение может использовать их для маркетинга, а вредоносные приложения – для кражи данных и заражения вашего Mac
Чтобы рекламное и вредоносное ПО было успешным, оно должно сохраняться в каждом сеансе работы пользователя. Для этого авторы вредоносных и рекламных программ создают вредоносный код и помещают его в папку LaunchAgent или LaunchDaemon. При каждом запуске вашего Mac команда launchd обеспечивает автоматический запуск вредоносного кода. К счастью, приложения безопасности могут помочь защититься от этого
Используйте приложения для обеспечения безопасности Mac
Бесплатное приложение KnockKnock работает по принципу постоянства. Оно выводит список постоянно установленных приложений и их компонентов в удобном интерфейсе. Нажмите кнопку Сканировать , и KnockKnock проверит все известные места, где может присутствовать вредоносное ПО
Левая панель содержит категории постоянных приложений с названиями и кратким описанием. Нажмите на любую группу, чтобы отобразить элементы в правой панели. Например, нажмите Launch Items в левой панели, чтобы просмотреть все LaunchAgents и LaunchDaemons
Каждая строка содержит подробную информацию о приложении. Сюда входит статус подписанного или неподписанного, путь к файлу и результаты антивирусной проверки с VirusTotal
BlockBlock – еще одно бесплатное приложение безопасности от Objective-See, которое постоянно отслеживает места сохранения. Приложение работает в фоновом режиме и выдает предупреждение всякий раз, когда вредоносное ПО добавляет постоянный компонент в macOS
Однако не каждый файл.plist сторонних разработчиков является вредоносным. Они могут появиться откуда угодно, в том числе:
.
Не стоит удалять компоненты установленных приложений. Однако совершенно безопасно удалять остатки старых приложений и остатки предыдущих обновлений macOS (если вы не хотите продолжать пользоваться этими приложениями)
Для этого нет уникального процесса удаления— просто удалите файл.plist и перезагрузите Mac. Или вы можете вырезать и вставить его на рабочий стол, чтобы сохранить копию на всякий случай. Не удаляйте элементы из папок System LaunchAgents и System LaunchDaemons , поскольку они необходимы для нормальной работы macOS
Известно, что бороться с рекламными программами и ПНП довольно сложно. В любом случае, если вы сомневаетесь, запустите программу
бесплатную версию Malwarebytes и подумайте об обновлении до Malwarebytes Premium, если вам нужна дополнительная защита
Остерегайтесь угроз запуска на Mac
Если вы выполните эти действия, то будете знать о новых угрозах заранее и сможете решить любые проблемы. Популярность рекламного ПО и PUP растет, постоянно появляются новые варианты вредоносных программ. К счастью, в macOS есть множество способов обеспечить вашу безопасность
Главное – следить за этими папками и часто проводить диагностику. Если вы сомневаетесь, всегда используйте Google для поиска имен потенциально вредоносных процессов. Но если вы избегаете ошибок, которые приводят к появлению вредоносных программ на вашем Mac, вам не стоит беспокоиться
Комментировать