Mac

Comment attraper et supprimer les LaunchDaemons et LaunchAgents cachés sur Mac

Comment attraper et supprimer les LaunchDaemons et LaunchAgents cachés sur Mac / Mac

Avez-vous déjà vécu ces frustrations sur votre Mac??

  • Une application apparaît dans la barre de menus mais pas dans vos éléments de connexion..
  • Safari redirige vers des sites de logiciels publicitaires ou modifie sa page d'accueil sans votre autorisation.
  • Des processus inconnus consomment de la CPU en arrière-plan.

Malheureusement, avec ces types d'événements imprévus, la suppression de l'application des éléments de connexion ne suffit pas pour résoudre le problème. Il existe de nombreux composants cachés sous-jacents et Apple ne les expose pas dans l'interface macOS typique..

Nous montrerons comment vous pouvez surveiller ces éléments de connexion cachés et prendre des mesures pour les résoudre..

Comprendre la routine de démarrage macOS

Lorsque vous appuyez sur le bouton d'alimentation, votre Mac démarre avec une série d'événements familiers:

  • Vous entendez un son de démarrage audible (les nouveaux Mac ne le font pas).
  • Le logo Apple apparaît avec la barre de progression.
  • L'écran de connexion apparaît à la fin de l'opération (ou sur le bureau si la connexion automatique est activée)..

Dans les coulisses, macOS commence le lancé processus. Il est responsable du démarrage, de l’arrêt et de la gestion de tous les autres processus, y compris les comptes système et utilisateur. Le processus est hautement optimisé et ne prend que quelques instants.

Pour examiner cela vous-même, ouvrez le Moniteur d'activité app, et choisissez Voir> Tous les processus. Au sommet, vous verrez deux processus principaux: kernel_task et lancé, avec leurs ID de processus (PID) comme 0 et 1.

Cela montre que lancé est le processus parent principal au démarrage du système. C'est également le dernier processus à quitter lorsque le système s'arrête.

La responsabilité principale de lancé est de lancer d'autres processus ou tâches sur une base programmée ou à la demande. Ceux-ci viennent en deux types: LaunchDaemons et Agents de lancement.

Que sont LaunchDaemons et LaunchAgents??

LaunchDaemons s'exécute généralement en tant que root, qu'un utilisateur soit connecté ou non. Ils ne peuvent pas afficher d'informations à l'aide de l'interface utilisateur graphique et affecter l'ensemble du système..

Par exemple, le locationd processus détecte l'emplacement géographique du Mac, tandis que Bluetooth processus gère Bluetooth. La liste des démons réside dans les emplacements suivants:

  • / Système / Bibliothèque / LaunchDaemons pour les processus macOS natifs
  • / Bibliothèque / LaunchDaemons pour les applications tierces installées

LaunchAgents démarre lorsqu'un utilisateur se connecte. Contrairement aux démons, ils peuvent accéder à l'interface utilisateur et afficher des informations. Par exemple, une application de calendrier peut surveiller le compte de calendrier de l'utilisateur pour les événements et vous avertir lorsque l'événement se produit. La liste des agents réside aux endroits suivants:

  • / Bibliothèque / LaunchAgents pour tous les comptes d'utilisateurs
  • ~ / Bibliothèque / LaunchAgents pour un compte utilisateur spécifique
  • / Système / Bibliothèque / LaunchAgents pour macOS uniquement

Avant de vous connecter, lancé exécute les services et autres composants spécifiés dans les fichiers PLIST à partir du dossier LaunchDaemons. Une fois connecté, lancé exécutera les services et les composants définis dans les fichiers PLIST à partir des dossiers LaunchAgents. Ceux de / Système / Bibliothèque font tous partie de macOS et sont protégés par la protection de l'intégrité du système Qu'est-ce que le protocole SIP? La protection de l'intégrité du système macOS expliquée Qu'est-ce que le protocole SIP? Explication de la protection de l'intégrité du système macOS Qu'est-ce que la protection de l'intégrité du système sur votre Mac? Nous expliquons ce que fait SIP et comment il affecte les logiciels macOS. Lire la suite .

Les fichiers de préférences suivent le système de nommage de domaine inversé standard. Il commence par le nom de la société, suivi d'un identifiant d'application, et se termine par l'extension du fichier de liste de propriétés (.PLIST). Par exemple, at.obdev.LittleSnitchHelper.plist est le fichier d'aide pour l'application LittleSnitch.

Comment attraper LaunchDaemons et LaunchAgents

Contrairement à ceux de la Système dossier, le public LaunchDaemon et LaunchAgent les dossiers sont ouverts aux applications légitimes et illégitimes. Vous pouvez surveiller ces dossiers automatiquement avec les actions de dossier.

Ouvrez le Éditeur AppleScript app en le recherchant dans Spotlight. Cliquez sur Préférences et choisir Général> Afficher le menu de script dans la barre de menus.

Clique le Menu de script icône et choisissez Actions de dossier> Activer les actions de dossier. Puis sélectionnez Joindre un script à un dossier dans ce même menu.

Une boîte de dialogue apparaîtra. De là, sélectionnez ajouter - alerte nouvel article.

Cliquez sur D'accord ouvrir une fenêtre du Finder. Maintenant, sélectionnez le dossier utilisateur LaunchDaemon (listé ci-dessus) et cliquez sur Choisir.

Répétez la procédure ci-dessus pour chaque dossier LaunchAgents..

Une fois terminé, ouvrez le Finder et cliquez sur Aller> Aller au dossier ou appuyez sur Maj + Cmd + G pour ouvrir la boîte de dialogue de navigation. Type ~ / Bibliothèque / LaunchAgents et cliquez Aller.

Faites un clic droit sur le Agents de lancement dossier, et choisissez Services> Configuration des actions sur les dossiers lier le script d'alerte de nouvel élément à chaque dossier.

Dans la boîte de dialogue qui apparaît, vous verrez la liste des dossiers dans la colonne de gauche et le script dans la colonne de droite. Si vous ne voyez aucun script, cliquez sur le bouton Plus bouton et ajouter nouvel élément alert.scpt.

Envisagez de surveiller ces dossiers avec des applications

Si vous souhaitez des options supplémentaires pour les alertes sur ces dossiers, vous pouvez essayer quelques outils tiers..

EtreCheck est un outil de diagnostic macOS qui affiche l'état de chargement de LaunchDaemons et LaunchAgents tiers, entre autres informations. Lorsque vous exécutez EtreCheck, il collecte diverses informations sur votre Mac. 9 Informations essentielles à connaître sur votre Mac 9 Informations essentielles à connaître sur votre Mac En tant qu'utilisateur Mac, vous devez connaître certains détails de votre ordinateur pour pouvoir dépanner. Voici plusieurs informations clés Mac que vous devriez vérifier dès maintenant. Lire la suite et le présente dans un rapport facile à lire. Il propose également des options d’aide supplémentaires lorsqu’il s’agit de logiciels publicitaires, de démons et d’agents suspects, de fichiers non signés, etc..

Ouvrez EtreCheck et cliquez sur Balayage. Cela prendra quelques minutes et une fois terminé, vous verrez un résumé complet de votre ordinateur. Cela inclut les problèmes majeurs et mineurs, la spécification matérielle, les problèmes de compatibilité logicielle, le statut de LaunchDaemons et LaunchAgents, etc..

L'application est gratuite pour les cinq premiers rapports, puis nécessite un achat intégré de 10 $ pour une utilisation continue.

Lingon X est un autre outil qui vous permet de démarrer une application, un script ou d'exécuter une commande automatiquement selon un planning. Il peut également surveiller tous les dossiers LaunchDaemons et LauchAgents en arrière-plan et afficher une notification en cas de modification. Vous pouvez voir tous les articles graphiquement et les ajuster au besoin.

Cet outil est gratuit et coûte 15 USD pour une licence complète..

Comment faire pour supprimer LaunchDaemons et LaunchAgents

Le public / Bibliothèque / LaunchAgents et / Bibliothèque / LaunchDaemons les dossiers sont vulnérables aux applications légitimes et illégitimes. Une application légitime peut l'utiliser pour le marketing, tandis que des applications illégales peuvent les utiliser pour voler des données et infecter le système..

Pour que les logiciels publicitaires et les logiciels malveillants réussissent, ils doivent persister dans chaque session d'utilisateur. Pour ce faire, les auteurs de logiciels malveillants et de logiciels publicitaires créent un code malveillant et le placent dans le dossier LaunchAgent ou LaunchDaemon. Chaque fois que votre Mac démarre, lancé veillera à ce que le code malveillant s'exécute automatiquement. Heureusement, les applications de sécurité peuvent vous aider à vous protéger contre cela..

Utiliser les applications de sécurité Mac

Le KnockKnock gratuit fonctionne sur le principe de la persistance. Il répertorie les applications installées de manière persistante et leurs composants dans une interface soignée. Clique le Balayage KnockKnock analysera tous les emplacements connus où des programmes malveillants pourraient être présents..

Le volet de gauche contient les catégories d'applications persistantes, avec des noms et une brève description. Cliquez sur un groupe pour afficher les éléments dans le volet de droite. Par exemple, cliquez sur Articles de lancement dans le volet de gauche pour afficher tous les LaunchAgents et LaunchDaemons.

Chaque ligne donne des informations détaillées sur l'application. Cela incluait le statut signé ou non signé, le chemin du fichier et les résultats de l'analyse antivirus de VirusTotal..

Une autre application de sécurité gratuite d'Objective-See, BlockBlock surveille en permanence les emplacements de persistance. L'application s'exécute en arrière-plan et affiche une alerte chaque fois qu'un programme malveillant ajoute un composant persistant à macOS..

Cependant, tous les fichiers PLIST tiers ne sont pas malveillants. Ils pourraient venir de n’importe où, y compris:

  • Composants des applications installées
  • Restes d'anciennes applications que vous n'utilisez plus
  • Restes de précédentes mises à jour macOS
  • Restes de l'assistant de migration
  • PUP (programmes potentiellement indésirables), logiciels publicitaires et logiciels malveillants.

Vous ne voulez supprimer aucun composant des applications installées. Cependant, il est parfaitement sûr de supprimer les restes d'anciennes applications et les restes de mises à niveau précédentes de MacOS (sauf si vous souhaitez continuer à utiliser ces applications)..

Il n'y a pas de processus de désinstallation unique pour cela. Il suffit de supprimer le fichier PLIST et de le redémarrer. Ou vous pouvez le couper et le coller sur votre bureau pour en avoir une copie et être en sécurité. Ne supprimez aucun élément de la Agents de lancement du système ou LaunchDaemons les dossiers, car ils sont nécessaires au bon fonctionnement de macOS.

Adware et PUP sont notoirement difficiles à aborder. Si vous avez un doute, lancez la version gratuite de Malwarebytes et envisagez de passer à Malwarebytes Premium si vous avez besoin d'une protection supplémentaire..

Restez prudent face aux menaces de lancement sur Mac

Si vous suivez ces étapes, vous serez informé à l'avance des nouvelles menaces et pourrez résoudre tous les problèmes. Les adwares et les PUP gagnent en popularité, avec de nouvelles variantes de malware.

Heureusement, macOS dispose de nombreux moyens de vous protéger.

L'astuce consiste à surveiller ces dossiers et à effectuer des contrôles de diagnostic fréquents. En cas de doute, recherchez toujours les noms de processus potentiellement malveillants sur Google. Mais si vous évitez les erreurs qui infectent votre Mac avec des logiciels malveillants 5 façons simples d'infecter votre Mac avec un logiciel malveillant 5 façons simples d'infecter votre Mac avec un logiciel malveillant Vous pouvez penser qu'il est assez difficile d'infecter votre Mac avec un logiciel malveillant, mais il y a toujours des exceptions. Voici cinq façons de salir votre ordinateur. Lire plus, vous ne devriez pas avoir à vous inquiéter.

Explorer plus sur: Anti-Malware, Sécurité Informatique, Conseils Mac, .