Hoe verborgen verborgen LaunchDaemons en LaunchAgents op Mac te vangen en te verwijderen

LaunchDaemons en LaunchAgents, die bij het inloggen automatisch software starten, kunnen een duistere kant hebben. Hier leest u hoe u ze kunt controleren en uzelf veilig kunt houden.

LaunchDaemons en LaunchAgents, die bij het inloggen automatisch software starten, kunnen een duistere kant hebben.  Hier leest u hoe u ze kunt controleren en uzelf veilig kunt houden.
Advertentie

Heb je deze frustraties ooit op je Mac ervaren?

  • Een app verschijnt in de menubalk maar niet in uw login-items.
  • Safari leidt door naar adware-sites of verandert zijn startpagina zonder uw toestemming.
  • Onbekende processen verbruiken CPU's op de achtergrond.

Helaas is het verwijderen van de app uit aanmelditems met dit soort onverwachte gebeurtenissen niet voldoende om het probleem op te lossen. Er zijn veel onderliggende verborgen componenten en Apple stelt ze niet bloot in de typische macOS-interface.

We laten zien hoe u kunt controleren en actie kunt ondernemen tegen deze verborgen aanmeldingsitems om unieke Mac-problemen op te lossen.

De macOS-opstartroutine begrijpen

Wanneer u op de aan / uit-knop drukt, start uw Mac op met een reeks vertrouwde gebeurtenissen:

  • Je hoort een hoorbaar opstartgeluid (nieuwere Macs doen dit niet).
  • Het Apple-logo verschijnt samen met de voortgangsbalk.
  • U ziet het inlogscherm verschijnen wanneer dit is voltooid (of op het bureaublad als u automatische aanmelding hebt ingeschakeld).

Achter de schermen start macOS het gestarte proces. Dit is verantwoordelijk voor het starten, stoppen en beheren van elk ander proces, inclusief het systeem en individuele gebruikersaccounts. Het proces is sterk geoptimaliseerd en duurt slechts enkele momenten.

Als u dit zelf wilt onderzoeken, opent u de Activity Monitor- app en kiest u Weergave> Alle processen . Bovenaan zie je twee hoofdprocessen: kernel_task en launchd, met hun proces-id's (PID) als 0 en 1 .

Dit laat zien dat launchd het primaire parent-proces is wanneer het systeem start. Het is ook het laatste proces om af te sluiten wanneer het systeem wordt afgesloten.

ontslagproces in Activity Monitor

De kernverantwoordelijkheid van launchd is om andere processen of banen op een geplande of on demand-basis te lanceren. Deze zijn er in twee soorten: LaunchDaemons en LaunchAgents .

Wat zijn LaunchDaemons en LaunchAgents?

LaunchDaemons worden meestal als root uitgevoerd, ongeacht of een gebruiker is aangemeld of niet. Ze kunnen geen informatie weergeven met behulp van de grafische gebruikersinterface en het hele systeem beïnvloeden.

Het locationd- proces detecteert bijvoorbeeld de geografische locatie van de Mac, terwijl bluetoothd- proces Bluetooth beheert. De lijst met daemons leeft op de volgende locaties:

  • /System/Library/LaunchDaemons voor native macOS-processen
  • /Library/LaunchDaemons voor geïnstalleerde apps van derden

LaunchDaemons-map Mac

LaunchAgentents starten wanneer een gebruiker zich aanmeldt. In tegenstelling tot daemons hebben ze toegang tot de gebruikersinterface en kunnen ze informatie weergeven. Een agenda-app kan bijvoorbeeld het kalenderaccount van de gebruiker controleren op gebeurtenissen en u op de hoogte stellen wanneer de gebeurtenis plaatsvindt. De lijst met agenten woont op de volgende locaties:

  • /Library/LaunchAgents voor alle gebruikersaccounts
  • ~/Library/LaunchAgents voor een specifiek gebruikersaccount
  • /System/Library/LaunchAgents alleen voor macOS

LaunchAgents map Mac

Voordat u zich aanmeldt, voert launchd services uit en andere componenten die zijn opgegeven in PLIST-bestanden uit de map LaunchDaemons. Nadat u zich hebt aangemeld, voert launchd services en componenten uit die zijn gedefinieerd in PLIST-bestanden vanuit de LaunchAgents-mappen. Die in / Systeem / Bibliotheek maken allemaal deel uit van macOS en worden beschermd door Systeemintegriteitsbescherming Hoe Systeemintegriteitsbescherming uitschakelen (en waarom niet) Hoe Systeemintegriteitsbescherming uitschakelen (en waarom niet) Er zijn meer redenen om laat de systeemintegriteitsbescherming van macOS ingeschakeld dan schakel hem uit, maar het is eenvoudig uit te schakelen. Lees verder .

De voorkeursbestanden volgen het standaard reverse-domein naamgevingssysteem. Het begint met de bedrijfsnaam, gevolgd door een toepassings-ID en eindigt met de bestandsextensie van de eigenschappenlijst (.PLIST). At.obdev.LittleSnitchHelper.plist is bijvoorbeeld het helperbestand voor de LittleSnitch-app.

System LaunchAgents map Mac

Hoe LaunchDaemons en LaunchAgents te vangen

In tegenstelling tot die in de map Systeem, staan ​​de openbare LaunchDaemon- en LaunchAgent- mappen open voor zowel legitieme als illegale apps. U kunt deze mappen automatisch controleren met Mapacties.

Open de AppleScript Editor- app door ernaar te zoeken in Spotlight. Klik op Voorkeuren en kies Algemeen> Scriptmenu weergeven in menubalk .

schakel het scriptmenu in de menubalk Mac in

Klik op het pictogram Scriptmenu en kies Mapacties> Mapacties inschakelen . Selecteer vervolgens Script toevoegen aan map in hetzelfde menu.

Voeg script toe aan map in mapacties en stel Mac in

Een dialoogvenster verschijnt. Selecteer hier het bericht Add - new item .

selecteer nieuw item alert optie Mac

Klik op OK om een ​​Finder-venster te openen. Selecteer nu de map LaunchDaemon-gebruiker (hierboven vermeld) en klik op Kies .

selecteer de map launchdaemon voor mapactie Mac

Herhaal de bovenstaande procedure voor elke LaunchAgents-map.

Wanneer u klaar bent, opent u Finder en klikt u op Go> Ga naar map of druk op Shift + Cmd + G om het navigatievenster te openen. Typ ~ / Library / LaunchAgents en klik op Go .

Finder Ga naar Folder LaunchAgents

Klik met de rechtermuisknop op de LaunchAgents- map en kies Services> Mapacties instellen om het nieuwe item-waarschuwingsscript aan elke map te koppelen .

kies de instellingen voor mapacties om het script Mac te binden

In het dialoogvenster dat verschijnt, ziet u de lijst met mappen in de linkerkolom en het script in de rechterkolom. Als u geen scripts ziet, klikt u op de plusknop en voegt u een nieuw item alert.scpt toe .
mapacties instellen vanuit het dialoogvenster Mac

Overweeg deze mappen te bewaken met apps

Als u enkele extra opties voor meldingen over deze mappen wilt, kunt u enkele hulpprogramma's van derden uitproberen.

EtreCheck is een macOS-diagnoseprogramma dat onder andere de laadstatus van LaunchDaemons en LaunchAgents van derden weergeeft. Wanneer je EtreCheck uitvoert, verzamelt het een verscheidenheid aan informatie over je Mac 9 Essentiële details die je moet weten over je Mac 9 Essentiële details die je moet weten over je Mac Als Mac-gebruiker moet je bepaalde details over je computer kennen voor het geval je op te lossen. Hier zijn enkele belangrijke Mac-details die u nu moet controleren. Lees meer en presenteert het in een gemakkelijk leesbaar rapport. Het heeft ook extra hulpopties bij het omgaan met adware, verdachte daemons en agenten, niet-ondertekende bestanden en meer.

Open EtreCheck en klik op Scannen . Dit duurt enkele minuten en zodra dit is voltooid, ziet u een volledig overzicht van uw computer. Dit omvat belangrijke en minder belangrijke problemen, hardwarespecificatie, softwarecompatibiliteitskwesties, de status van LaunchDaemons en LaunchAgents, en meer.

De app is gratis voor de eerste vijf rapporten en vereist vervolgens een in-app-aankoop van $ 10 voor continu gebruik.

etrecheck genereren rapport Mac

Lingon X is een ander hulpmiddel waarmee u een app, een script of een opdracht automatisch volgens een schema kunt uitvoeren. Het kan ook alle mappen van LaunchDaemons en LauchAgents op de achtergrond controleren en een melding weergeven wanneer iets verandert. U kunt alle items grafisch weergeven en indien nodig aanpassen.

Deze tool is gratis te proberen en kost $ 15 voor een volledige licentie.

Lingon X-interface Mac

Hoe LaunchDaemons en LaunchAgents te verwijderen

De mappen public / Library / LaunchAgents en / Library / LaunchDaemons zijn kwetsbaar voor zowel legitieme als illegale apps. Een legitieme app kan deze gebruiken voor marketing, terwijl illegale apps ze kunnen gebruiken om gegevens te stelen en het systeem te infecteren.

Om adware en malware succesvol te laten zijn, moeten ze blijven bestaan ​​in elke gebruikerssessie. Hiertoe maken malware- en adware-auteurs schadelijke code en plaatsen deze in de map LaunchAgent of LaunchDaemon. Elke keer dat uw Mac wordt gestart, zorgt launchd ervoor dat de schadelijke code automatisch wordt uitgevoerd. Gelukkig kunnen beveiligings-apps hiertegen beschermen.

Gebruik Mac-beveiligingsapps

De gratis KnockKnock werkt op het principe van persistentie. Het toont aanhoudend geïnstalleerde apps en hun componenten in een nette interface. Klik op de knop Scannen en KnockKnock scant alle bekende locaties waar mogelijk malware aanwezig is.

Het linkerdeelvenster bevat de categorieën persistente apps, met namen en een korte beschrijving. Klik op een groep om de items in het rechtervenster weer te geven. Klik bijvoorbeeld op Items starten in het linkerdeelvenster om alle LaunchAgents en LaunchDaemons te bekijken.

knockknock gebruikersinterface Mac

Elke rij geeft gedetailleerde informatie over de app. Dit omvatte de ondertekende of niet-ondertekende status, het pad naar het bestand en de antivirusscanresultaten van VirusTotal.

Een andere gratis beveiligingsapp van Objective-See, BlockBlock bewaakt voortdurend persistentielocaties. De app wordt op de achtergrond uitgevoerd en geeft een waarschuwing weer wanneer malware een persistent onderdeel toevoegt aan macOS.

Blockblock app alert

Niet elk PLIST-bestand van derden is echter kwaadaardig. Ze kunnen overal vandaan komen, inclusief:

  • Onderdelen van geïnstalleerde apps
  • Restanten van oude apps die u niet meer gebruikt
  • Restanten van eerdere macOS-upgrades
  • Restanten migratieassistent
  • PUP's (mogelijk ongewenste programma's), adware en malware.

U wilt geen componenten van geïnstalleerde apps verwijderen. Het is echter volkomen veilig om de overblijfselen van oude apps en restanten van eerdere macOS-upgrades te verwijderen (tenzij u die apps wilt blijven gebruiken).

Er is geen uniek de-installatieproces voor - simpelweg het PLIST-bestand verwijderen en opnieuw opstarten. Of u kunt het knippen en plakken op uw bureaublad om een ​​kopie te hebben en aan de veilige kant te zijn. Verwijder geen items uit de mappen System LaunchAgents of LaunchDaemons, omdat ze nodig zijn om macOS probleemloos te laten werken.

Adware en PUP's zijn notoir uitdagend om aan te pakken. Wanneer je twijfelt, voer dan de gratis versie van Malwarebytes uit en overweeg een upgrade naar Malwarebytes Premium als je extra bescherming nodig hebt.

Malwarebytes gratis Mac

Blijf voorzichtig van het lanceren van bedreigingen op Mac

Als u deze stappen volgt, weet u van tevoren over nieuwe dreigingen en kunt u eventuele problemen oplossen. Adware en PUP's worden steeds populairder, met nieuwe varianten van malware die de hele tijd opduiken.

Gelukkig heeft macOS genoeg manieren om je veilig te houden.

De kunst is om deze mappen te controleren en frequent diagnostische controles uit te voeren. Als u twijfelt, geeft Google altijd de mogelijk schadelijke procesnamen weer. Maar als u de fouten vermijdt die uw Mac infecteren met malware 5 Eenvoudige manieren om uw Mac te infecteren met malware 5 Eenvoudige manieren om uw Mac te infecteren Met malware U zou kunnen denken dat het behoorlijk moeilijk is om uw Mac te infecteren met malware, maar er zijn altijd uitzonderingen. Hier zijn vijf manieren om je computer vies te maken. Meer lezen, u zou zich geen zorgen moeten maken.

In this article