Hai mai provato queste frustrazioni sul tuo Mac?
- Un'app viene visualizzata nella barra dei menu ma non negli elementi di accesso.
- Safari reindirizza a siti adware o cambia la sua homepage senza la tua autorizzazione.
- I processi sconosciuti consumano la CPU in background.
Sfortunatamente, con questi tipi di eventi imprevisti, rimuovere l'app dagli elementi di accesso non è sufficiente per risolvere il problema. Ci sono molti componenti nascosti sottostanti e Apple non li espone all'interfaccia macOS tipica.
Mostreremo come è possibile monitorare e agire contro questi elementi di accesso nascosti per risolvere problemi di Mac univoci.
Comprensione della routine di avvio di macOS
Quando premi il pulsante di accensione, il tuo Mac si avvia con una serie di eventi familiari:
- Si sente un suono di avvio udibile (i nuovi Mac non lo fanno).
- Il logo Apple appare insieme alla barra di avanzamento.
- Viene visualizzata la schermata di accesso al termine (o sul desktop se è stato abilitato il login automatico).
Dietro le quinte, macOS avvia il processo di avvio. Questo è responsabile dell'avvio, dell'arresto e della gestione di ogni altro processo, incluso il sistema e i singoli account utente. Il processo è altamente ottimizzato e richiede solo pochi istanti.
Per esaminarlo, apri l'app Monitoraggio attività e seleziona Visualizza> Tutti i processi . Nella parte superiore, verranno visualizzati due processi principali: kernel_task e launchd, con i relativi ID di processo (PID) come 0 e 1 .
Questo mostra che launchd è il processo principale genitore all'avvio del sistema. È anche l'ultimo processo da chiudere quando il sistema si spegne.
La responsabilità principale di launchd è quella di avviare altri processi o processi su base pianificata o su richiesta. Questi sono disponibili in due tipi: LaunchDaemons e LaunchAgents .
Cosa sono LaunchDaemons e LaunchAgents?
LaunchDaemons viene eseguito come root, indipendentemente dal fatto che un utente abbia effettuato l'accesso o meno. Non possono visualizzare le informazioni utilizzando l'interfaccia utente grafica e influenzano l'intero sistema.
Ad esempio, il processo locationd rileva la posizione geografica del Mac, mentre il processo bluetoothd gestisce il Bluetooth. L'elenco dei daemon vive nelle seguenti posizioni:
/System/Library/LaunchDaemons
per i processi macOS nativi/Library/LaunchDaemons
per app di terze parti installate
I LaunchAgent si avviano quando un utente esegue l'accesso. A differenza dei daemon, possono accedere all'interfaccia utente e visualizzare le informazioni. Ad esempio, un'app di calendario può monitorare l'account del calendario dell'utente per gli eventi e avvisarti quando si verifica l'evento. L'elenco degli agenti risiede nelle seguenti posizioni:
/Library/LaunchAgents
per tutti gli account utente~/Library/LaunchAgents
per un account utente specifico/System/Library/LaunchAgents
solo per macOS
Prima di accedere, launchd esegue servizi e altri componenti specificati nei file PLIST dalla cartella LaunchDaemon. Una volta effettuato l'accesso, launchd eseguirà servizi e componenti definiti in file PLIST dalle cartelle LaunchAgents. Quelli in / System / Library fanno tutti parte di macOS e sono protetti da System Integrity Protection Come disabilitare la protezione dell'integrità del sistema (e perché non dovresti) Come disabilitare la protezione dell'integrità del sistema (e perché non dovresti) Ci sono più motivi per lasciare su System Integrity Protection di macOS piuttosto che spegnerlo, ma spegnerlo è facile. Leggi di più .
I file delle preferenze seguono il sistema standard di denominazione del dominio inverso. Inizia con il nome della società, seguito da un identificativo dell'applicazione e termina con l'estensione del file dell'elenco delle proprietà (.PLIST). Ad esempio, at.obdev.LittleSnitchHelper.plist è il file di supporto per l'app LittleSnitch.
Come catturare LaunchDaemon e LaunchAgent
A differenza di quelli presenti nella cartella System, le cartelle pubbliche LaunchDaemon e LaunchAgent sono aperte sia per le app legittime che per quelle illegittime. È possibile monitorare automaticamente queste cartelle con Azioni cartella.
Apri l'app AppleScript Editor cercandola in Spotlight. Fare clic su Preferenze e selezionare Generale> Mostra menu Script nella barra dei menu .
Fare clic sull'icona Menu Script e selezionare Azioni cartella> Abilita azioni cartella . Quindi selezionare Collega script a cartella nello stesso menu.
Apparirà una finestra di dialogo. Da qui, seleziona aggiungi - nuovo avviso articolo .
Fai clic su OK per aprire una finestra del Finder. Ora seleziona la cartella LaunchDaemon dell'utente (elencata sopra) e fai clic su Scegli .
Ripetere la procedura sopra descritta per ogni cartella LaunchAgents.
Al termine, apri Finder e fai clic su Vai> Vai alla cartella o premi MAIUSC + Cmd + G per aprire la finestra di dialogo di navigazione. Digita ~ / Library / LaunchAgents e fai clic su Vai .
Fare clic con il pulsante destro del mouse sulla cartella LaunchAgents e selezionare Servizi> Impostazione azioni cartella per associare il nuovo script di avviso all'elemento in ogni cartella.
Nella finestra di dialogo che si apre, vedrai l'elenco delle cartelle nella colonna sinistra e lo script nella colonna di destra. Se non vedi alcun script, fai clic sul pulsante Più e aggiungi un nuovo elemento alert.scpt .
Prendi in considerazione il monitoraggio di queste cartelle con le app
Se desideri alcune opzioni aggiuntive per gli avvisi su queste cartelle, puoi provare alcuni strumenti di terze parti.
EtreCheck è uno strumento di diagnostica macOS che visualizza lo stato di caricamento di LaunchDaemons e LaunchAgent di terze parti, tra le altre informazioni. Quando esegui EtreCheck, raccoglie una serie di informazioni sul tuo Mac 9 Dettagli essenziali da conoscere sul tuo Mac 9 Dettagli essenziali da conoscere sul tuo Mac Come utente Mac, devi conoscere alcuni dettagli sul tuo computer in caso tu abbia bisogno di la risoluzione dei problemi. Qui ci sono alcuni dettagli Mac fondamentali che dovresti controllare adesso. Leggi di più e lo presenta in un rapporto di facile lettura. Ha anche opzioni di aiuto aggiuntive quando si tratta di adware, demoni e agenti sospetti, file non firmati e altro.
Aprire EtreCheck e fare clic su Scansione . Ci vorranno alcuni minuti e, una volta terminato, vedrai un riepilogo completo del tuo computer. Questo include problemi principali e minori, specifiche hardware, problemi di compatibilità del software, lo stato di LaunchDaemons e LaunchAgent e altro ancora.
L'app è gratuita per i primi cinque rapporti, quindi richiede un acquisto in-app da $ 10 per un uso continuato.
Lingon X è un altro strumento che ti consente di avviare un'applicazione, uno script o eseguire un comando automaticamente su una pianificazione. Può anche monitorare tutte le cartelle LaunchDaemons e LauchAgents in background e mostrare una notifica quando qualcosa cambia. Puoi vedere tutti gli oggetti graficamente e regolarli secondo necessità.
Questo strumento è gratuito e costa $ 15 per una licenza completa.
Come rimuovere LaunchDaemons e LaunchAgents
Le cartelle public / Library / LaunchAgents e / Library / LaunchDaemon sono vulnerabili alle app legittime e illegittime. Un'app legittima potrebbe utilizzarla per il marketing, mentre le app illegali possono utilizzarle per rubare dati e infettare il sistema.
Affinché adware e malware abbiano successo, devono persistere in ogni sessione utente. Per fare ciò, autori di malware e adware creano codice dannoso e lo inseriscono nella cartella LaunchAgent o LaunchDaemon. Ogni volta che viene avviato il tuo Mac, launchd assicurerà che il codice dannoso venga eseguito automaticamente. Per fortuna, le app di sicurezza possono aiutare a proteggere da questo.
Utilizza le app di sicurezza Mac
KnockKnock funziona sul principio della persistenza. Elenca le app installate in modo permanente e i relativi componenti in un'interfaccia chiara. Fai clic sul pulsante Scansione e KnockKnock eseguirà la scansione di tutte le posizioni note in cui potrebbe essere presente malware.
Il riquadro di sinistra contiene le categorie di app persistenti, con nomi e una breve descrizione. Fare clic su qualsiasi gruppo per visualizzare gli elementi nel riquadro destro. Ad esempio, fare clic su Avvia elementi nel riquadro sinistro per visualizzare tutti gli oggetti LaunchAgent e LaunchDaemon.
Ogni riga fornisce informazioni dettagliate sull'app. Questo includeva lo stato firmato o non firmato, il percorso del file e i risultati della scansione antivirus di VirusTotal.
Un'altra app di sicurezza gratuita di Objective-See, BlockBlock controlla continuamente le posizioni di persistenza. L'app viene eseguita in background e mostra un avviso ogni volta che il malware aggiunge un componente persistente a macOS.
Tuttavia, non tutti i file PLIST di terze parti sono dannosi. Potrebbero venire da qualsiasi luogo, tra cui:
- Componenti delle app installate
- Resti di vecchie app che non usi più
- Rimanenze da precedenti aggiornamenti macOS
- Rimanenze di Migration Assistant
- PUP (programmi potenzialmente indesiderati), adware e malware.
Non si desidera eliminare alcun componente delle app installate. Tuttavia, è perfettamente sicuro rimuovere i resti di vecchie app e avanzi dai precedenti aggiornamenti macOS (a meno che non si desideri continuare a utilizzare tali app).
Non esiste un processo di disinstallazione unico per questo: basta trascinare il file PLIST e riavviare. Oppure puoi tagliarlo e incollarlo sul tuo desktop per avere una copia e stare dalla parte della sicurezza. Non eliminare alcun elemento dalle cartelle LaunchAgent di sistema o LaunchDaemon, poiché sono necessari per il corretto funzionamento di macOS.
Adware e PUP sono notoriamente difficili da affrontare. Ogni volta che si è in dubbio, eseguire la versione gratuita di Malwarebytes e considerare l'aggiornamento a Malwarebytes Premium se è necessaria una protezione aggiuntiva.
Stai attento alle minacce di lancio su Mac
Se segui questi passaggi, conoscerai le nuove minacce in anticipo e potrai risolvere qualsiasi problema. Adware e PUP stanno crescendo in popolarità, con nuove varianti di malware in arrivo tutto il tempo.
Per fortuna, macOS ha molti modi per tenerti al sicuro.
Il trucco è monitorare queste cartelle ed eseguire controlli diagnostici frequenti. In caso di dubbi, sempre su Google i nomi dei processi potenzialmente dannosi. Ma se si evitano gli errori che infettano il vostro Mac con malware 5 semplici modi per infettare il vostro Mac con malware 5 semplici modi per infettare il vostro Mac con malware Potreste pensare che sia piuttosto difficile infettare il vostro Mac con malware, ma ci sono sempre delle eccezioni. Ecco cinque modi in cui puoi sporcare il tuo computer. Per saperne di più, non dovresti aver bisogno di preoccuparti.