Comment faire pour récupérer et supprimer des LaunchDaemons cachés et LaunchAgents sur Mac

LaunchDaemons et LaunchAgents, qui lancent le logiciel automatiquement lors de la connexion, peuvent avoir un côté sombre. Voici comment les surveiller et rester en sécurité.

LaunchDaemons et LaunchAgents, qui lancent le logiciel automatiquement lors de la connexion, peuvent avoir un côté sombre.  Voici comment les surveiller et rester en sécurité.
Publicité

Avez-vous déjà connu ces frustrations sur votre Mac?

  • Une application apparaît dans la barre de menus mais pas dans vos éléments de connexion.
  • Safari redirige vers les sites de logiciels publicitaires ou modifie sa page d'accueil sans votre autorisation.
  • Les processus inconnus consomment le processeur en arrière-plan.

Malheureusement, avec ces types d'événements inattendus, la suppression de l'application des éléments de connexion n'est pas suffisante pour résoudre le problème. Il existe de nombreux composants sous-jacents cachés, et Apple ne les expose pas dans l'interface typique de macOS.

Nous montrerons comment vous pouvez surveiller et prendre des mesures contre ces éléments de connexion cachés pour résoudre les problèmes Mac uniques.

Comprendre la routine de démarrage macOS

Lorsque vous appuyez sur le bouton d'alimentation, votre Mac démarre avec une série d'événements familiers:

  • Vous entendez un son de démarrage audible (les nouveaux Mac ne le font pas).
  • Le logo Apple apparaît avec la barre de progression.
  • Vous voyez l'écran de connexion apparaître lorsque cela se termine (ou le bureau si vous avez activé la connexion automatique).

Dans les coulisses, macOS démarre le processus launchd . Il est responsable du démarrage, de l'arrêt et de la gestion de tous les autres processus, y compris le système et les comptes utilisateur individuels. Le processus est hautement optimisé et ne prend que quelques instants.

Pour l'examiner vous-même, ouvrez l'application Moniteur d'activité et choisissez Affichage> Tous les processus . En haut, vous verrez deux processus principaux: kernel_task et launchd, avec leurs identifiants de processus (PID) comme 0 et 1 .

Cela montre que launchd est le processus parent principal lorsque le système démarre. C'est également le dernier processus à quitter lorsque le système s'arrête.

processus launcd dans Moniteur d'activité

La principale responsabilité de launchd est de lancer d'autres processus ou tâches sur une base planifiée ou à la demande. Ceux-ci sont de deux types: LaunchDaemons et LaunchAgents .

Que sont les LaunchDaemons et les LaunchAgents?

LaunchDaemons s'exécutent généralement en tant que root, que l'utilisateur soit connecté ou non. Ils ne peuvent pas afficher d'informations à l'aide de l'interface utilisateur graphique et affectent tout le système.

Par exemple, le processus locationd détecte l'emplacement géographique du Mac, tandis que bluetoothd gère le Bluetooth. La liste des démons réside dans les emplacements suivants:

  • /System/Library/LaunchDaemons pour les processus macOS natifs
  • /Library/LaunchDaemons pour les applications tierces installées

Dossier LaunchDaemons Mac

LaunchAgents démarre lorsqu'un utilisateur se connecte. Contrairement aux démons, ils peuvent accéder à l'interface utilisateur et afficher des informations. Par exemple, une application de calendrier peut surveiller les événements du compte de calendrier de l'utilisateur et vous informer lorsque l'événement se produit. La liste des agents réside dans les emplacements suivants:

  • /Library/LaunchAgents pour tous les comptes d'utilisateurs
  • ~/Library/LaunchAgents pour un compte d'utilisateur spécifique
  • /System/Library/LaunchAgents pour macOS uniquement

Dossier LaunchAgents Mac

Avant de vous connecter, launchd exécute les services et autres composants spécifiés dans les fichiers PLIST à partir du dossier LaunchDaemons. Une fois connecté, launchd exécutera les services et les composants définis dans les fichiers PLIST à partir des dossiers LaunchAgents. Ceux dans / System / Library font tous partie de macOS et protégés par System Integrity Protection Comment désactiver la protection de l'intégrité du système (et pourquoi vous ne devriez pas) Comment désactiver la protection de l'intégrité du système (et pourquoi vous ne devriez pas) Il y a plus de raisons de Laisser la protection de l'intégrité du système de macOS activée, mais l'éteindre est facile. Lire la suite .

Les fichiers de préférences suivent le système de dénomination de domaine inverse standard. Il commence par le nom de la société, suivi d'un identificateur d'application et se termine par l'extension du fichier de la liste de propriétés (.PLIST). Par exemple, at.obdev.LittleSnitchHelper.plist est le fichier d'aide pour l'application LittleSnitch.

Dossier System LaunchAgents Mac

Comment récupérer LaunchDaemons et LaunchAgents

Contrairement à ceux du dossier System, les dossiers publics LaunchDaemon et LaunchAgent sont ouverts aux applications légitimes et illégitimes. Vous pouvez surveiller ces dossiers automatiquement avec des actions de dossier.

Ouvrez l'application AppleScript Editor en la recherchant dans Spotlight. Cliquez sur Préférences et choisissez Général> Afficher le menu Script dans la barre de menus .

activer le menu de script dans la barre de menu Mac

Cliquez sur l'icône du menu Script et choisissez Actions sur les dossiers> Activer les actions sur les dossiers . Ensuite, sélectionnez Joindre un script au dossier dans ce même menu.

Joindre un script au dossier dans les actions du dossier Configurer Mac

Une boîte de dialogue apparaîtra. De là, sélectionnez Ajouter une nouvelle alerte d'élément .

sélectionnez l'option d'alerte nouvel élément Mac

Cliquez sur OK pour ouvrir une fenêtre du Finder. Maintenant, sélectionnez le dossier LaunchDaemon utilisateur (répertorié ci-dessus) et cliquez sur Choisir .

sélectionnez le dossier launchdaemon pour l'action du dossier Mac

Répétez la procédure ci-dessus pour chaque dossier LaunchAgents.

Une fois terminé, ouvrez Finder et cliquez sur Aller> Aller au dossier ou appuyez sur Maj + Cmd + G pour ouvrir la boîte de dialogue de navigation. Tapez ~ / Library / LaunchAgents et cliquez sur Go .

Finder Aller au dossier LaunchAgents

Cliquez avec le bouton droit sur le dossier LaunchAgents, puis choisissez Services> Configuration des actions de dossier pour lier le script d'alerte de nouvel élément à chaque dossier.

choisissez la configuration des actions du dossier pour lier le script Mac

Dans la boîte de dialogue qui apparaît, vous verrez la liste des dossiers dans la colonne de gauche et le script dans la colonne de droite. Si vous ne voyez aucun script, cliquez sur le bouton Plus et ajoutez un nouvel élément alert.scpt .
configuration des actions de dossier à partir de la fenêtre de dialogue Mac

Envisagez de surveiller ces dossiers avec des applications

Si vous souhaitez des options supplémentaires pour les alertes sur ces dossiers, vous pouvez essayer quelques outils tiers.

EtreCheck est un outil de diagnostic macOS qui affiche l'état de chargement de LaunchDaemons et LaunchAgents tiers, entre autres informations. Lorsque vous exécutez EtreCheck, il recueille une variété d'informations sur votre Mac 9 Informations essentielles que vous devez savoir sur votre Mac 9 Informations essentielles que vous devez savoir sur votre Mac En tant qu'utilisateur Mac, vous devez connaître certains détails de votre ordinateur au cas où vous en auriez besoin. dépanner. Voici plusieurs détails clés sur Mac que vous devriez vérifier dès maintenant. Lisez la suite et présentez-la dans un rapport facile à lire. Il dispose également d'options d'aide supplémentaires pour les adwares, les démons et agents suspects, les fichiers non signés, etc.

Ouvrez EtreCheck et cliquez sur Scan . Cela prendra quelques minutes, et une fois cela fait, vous verrez un résumé complet de votre ordinateur. Cela inclut les problèmes majeurs et mineurs, la spécification du matériel, les problèmes de compatibilité logicielle, l'état de LaunchDaemons et LaunchAgents, et plus encore.

L'application est gratuite pour les cinq premiers rapports, puis nécessite un achat in-app de 10 $ pour une utilisation continue.

etrecheck générer un rapport Mac

Lingon X est un autre outil qui vous permet de démarrer une application, un script ou d'exécuter une commande automatiquement selon un planning. Il peut également surveiller tous les dossiers LaunchDaemons et LauchAgents en arrière-plan et afficher une notification lorsque quelque chose change. Vous pouvez voir tous les éléments graphiquement et les ajuster au besoin.

Cet outil est gratuit et coûte 15 $ pour une licence complète.

Lingon X interface Mac

Comment faire pour supprimer LaunchDaemons et LaunchAgents

Les dossiers public / Library / LaunchAgents et / Library / LaunchDaemons sont vulnérables aux applications légitimes et illégitimes. Une application légitime peut l'utiliser pour le marketing, tandis que les applications illégales peuvent les utiliser pour voler des données et infecter le système.

Pour que les logiciels publicitaires et les logiciels malveillants réussissent, ils doivent être conservés dans chaque session d'utilisateur. Pour ce faire, les auteurs de logiciels malveillants et de logiciels publicitaires créent un code malveillant et le placent dans le dossier LaunchAgent ou LaunchDaemon. Launchd s'assurera que le code malveillant s'exécute automatiquement à chaque démarrage de votre Mac. Heureusement, les applications de sécurité peuvent aider à protéger contre cela.

Utiliser les applications de sécurité Mac

Le KnockKnock gratuit fonctionne sur le principe de la persistance. Il répertorie les applications installées de manière persistante et leurs composants dans une interface soignée. Cliquez sur le bouton Analyser, et KnockKnock analysera tous les emplacements connus où des logiciels malveillants pourraient être présents.

Le volet de gauche contient les catégories d'applications persistantes, avec des noms et une brève description. Cliquez sur un groupe pour afficher les éléments dans le volet de droite. Par exemple, cliquez sur Lancer les éléments dans le volet de gauche pour afficher tous les LaunchAgents et les LaunchDaemons.

interface utilisateur knockknock Mac

Chaque ligne donne des informations détaillées sur l'application. Cela inclut le statut signé ou non signé, le chemin d'accès au fichier et les résultats de l'analyse antivirus de VirusTotal.

Une autre application de sécurité gratuite d'Objective-See, BlockBlock surveille en permanence les emplacements de persistance. L'application s'exécute en arrière-plan et vous montre une alerte chaque fois qu'un logiciel malveillant ajoute un composant persistant à macOS.

Bloquer l'application

Cependant, tous les fichiers PLIST de tiers ne sont pas malveillants. Ils pourraient venir de n'importe où, y compris:

  • Composants des applications installées
  • Les restes d'anciennes applications que vous n'utilisez plus
  • Restes de mises à jour précédentes de macOS
  • Migration Assistant restes
  • PUP (programmes potentiellement indésirables), logiciels publicitaires et logiciels malveillants.

Vous ne voulez pas supprimer les composants des applications installées. Cependant, il est parfaitement sûr de supprimer les restes d'anciennes applications et les restes des mises à niveau précédentes de macOS (sauf si vous souhaitez continuer à utiliser ces applications).

Il n'y a pas de processus de désinstallation unique pour cela - il suffit de jeter le fichier PLIST et de redémarrer. Ou vous pouvez couper et coller sur votre bureau pour en avoir une copie et être du bon côté. Ne supprimez aucun élément des dossiers System LaunchAgents ou LaunchDaemons, car ils sont nécessaires au bon fonctionnement de macOS.

Adware et PUPs sont notoirement difficiles à aborder. En cas de doute, exécutez la version gratuite de Malwarebytes et envisagez de passer à Malwarebytes Premium si vous avez besoin d'une protection supplémentaire.

Malwarebytes gratuitement Mac

Restez prudent des menaces de lancement sur Mac

Si vous suivez ces étapes, vous connaîtrez les nouvelles menaces à l'avance et pourrez résoudre tous les problèmes. Les logiciels publicitaires et les PUP gagnent en popularité, avec de nouvelles variantes de logiciels malveillants apparaissant tout le temps.

Heureusement, macOS a de nombreuses façons de vous protéger.

L'astuce consiste à surveiller ces dossiers et à exécuter des contrôles de diagnostic fréquents. En cas de doute, indiquez toujours les noms de processus potentiellement malveillants dans Google. Si vous évitez les erreurs qui infectent votre Mac avec des logiciels malveillants Vous pouvez penser qu'il est assez difficile d'infecter votre Mac avec des logiciels malveillants, mais il y a toujours des exceptions. Voici cinq façons de salir votre ordinateur. Lire la suite, vous ne devriez pas avoir à s'inquiéter.

In this article