你有没有在你的Mac电脑上经历过这些挫折？

• 应用程序会出现在菜单栏中，但不会出现在您的登录项中。
• Safari会在未经您允许的情况下重定向到广告软件网站或更改其主页。
• 未知进程在后台消耗CPU。

不幸的是，对于这些类型的意外事件，从登录项中删除应用程序不足以解决问题。有许多潜在的隐藏组件，苹果并没有在典型的macOS界面中公开它们。

我们将向您展示如何监视这些隐藏的登录项并对其采取操作，以解决独特的Mac问题。

了解macos启动例程

当您按下电源按钮时，Mac会启动一系列熟悉的事件：

• 您会听到启动声音（较新的Mac不会这样做）。
• Apple徽标将与进度条一起出现。
• 完成后将显示登录屏幕（如果启用了自动登录，则显示桌面）。

在幕后，macOS启动启动过程。它负责启动、停止和管理每个其他进程，包括系统和单个用户帐户。这个过程是高度优化的，只需要几分钟。

要亲自检查此问题，请打开“活动监视器”应用程序，然后选择“查看”&gt；“所有进程”。在顶部，您将看到两个主要进程：kernel\u task和launchd，它们的进程id（PID）分别为0和1。

这表明launchd是系统启动时的主要父进程。这也是系统关闭时退出的最后一个进程。

launchd的核心职责是按计划或按需启动其他进程或作业。它们有两种类型：launchdaemon和LaunchAgents。

什么是启动守护程序和启动代理(launchdaem*** and launchagents)？

启动守护进程通常以root用户身份运行，而不管用户是否登录。它们不能使用图形用户界面显示信息并影响整个系统。

例如，locationd进程检测Mac的地理位置，而Bluetooth进程管理蓝牙。守护程序列表位于以下位置：

• /System/Library/LaunchDaem***for native macOS processes
• /Library/LaunchDaem***for installed third-party apps

当用户登录时启动代理。与守护进程不同，它们可以访问用户界面并显示信息。例如，日历应用程序可以监视用户的日历帐户中的事件，并在事件发生时通知您。代理人名单位于以下地点：

• /Library/LaunchAgentsfor all user accounts
• ~/Library/LaunchAgentsfor a specific user account
• /System/Library/LaunchAgentsfor macOS only

在登录之前，launchd从LaunchDaem***文件夹运行PLIST文件中指定的服务和其他组件。登录后，launchd将运行LaunchAgents文件夹中PLIST文件中定义的服务和组件。/System/Library中的那些都是macOS的一部分，并受系统完整性保护。

首选项文件遵循标准的反向域命名系统。它以公司名称开始，后跟应用程序标识符，以属性列表文件扩展名（.PLIST）结束。例如，at.obdev.LittleSnitchHelper文件.plist是LittleSnitch应用程序的帮助文件。

如何捕获启动守护程序和启动代理

与系统文件夹中的文件夹不同，public LaunchDaemon和LaunchAgent文件夹对合法和非法应用都开放。您可以使用文件夹操作自动监视这些文件夹。

通过在Spotlight中搜索打开AppleScript编辑器应用程序。单击“首选项”，然后选择“常规”&gt；“在菜单栏中显示脚本菜单”。

单击“脚本”菜单图标，然后选择“文件夹操作”&gt；“启用文件夹操作”。然后在同一菜单中选择“将脚本附加到文件夹”。

将弹出一个对话框。从这里，选择add-new item alert。

单击“确定”打开查找器窗口。现在选择userlaunchdaemon文件夹（上面列出）并单击Choose。

对每个LaunchAgents文件夹重复上述步骤。

完成后，打开Finder并单击“转到”&gt；“转到文件夹”，或按Shift+Cmd+G打开“导航”对话框。键入~/Library/LaunchAgents并单击Go。

右键单击LaunchAgents文件夹，然后选择Services&gt；folder Acti*** Setup将新项目警报脚本绑定到每个文件夹。

在弹出的对话框中，您将看到左侧列中的文件夹列表，右列中的脚本。如果您没有看到任何脚本，请单击“加号”按钮并添加新项目警报.scpt.

考虑使用应用程序监视这些文件夹

如果您想为这些文件夹上的警报提供一些附加选项，可以尝试使用一些第三方工具。

eTracheck是一个macOS诊断工具，它显示第三方启动守护程序和启动代理的加载状态以及其他信息。运行eTracheck时，它会收集有关Mac的各种信息，并以易于阅读的报告形式显示这些信息。在处理广告软件、可疑守护程序和代理、未签名文件等时，它还提供了其他帮助选项。

打开eTracheck并单击“扫描”。这将需要几分钟，一旦完成，您将看到您的计算机的完整摘要。这包括主要和次要问题、硬件规范、软件兼容性问题、启动守护程序和启动代理的状态等等。

该应用程序对前五份报告是免费的，然后需要在应用程序内购买10美元才能继续使用。

LingonX是另一个工具，它可以让你启动一个应用程序，一个脚本，或者按照计划自动运行一个命令。它还可以在后台监视所有LaunchDaem***和LauchAgents文件夹，并在发生更改时显示通知。您可以以图形方式查看所有项目，并根据需要进行调整。

这个工具是****的，一个完整的许可证需要15美元。

如何删除启动守护程序和启动代理

public/Library/LaunchAgents和/Library/LaunchDaem***文件夹容易受到合法和非法应用程序的攻击。合法的应用程序可能会将其用于营销，而非法的应用程序可能会利用它们窃取数据并感染系统。

要使广告软件和恶意软件成功，它们必须在每个用户会话中持久存在。为此，恶意软件和广告软件作者创建恶意代码并将其放入LaunchAgent或LaunchDaemon文件夹。每次Mac启动时，launchd都会确保恶意代码自动运行。谢天谢地，安全应用程序可以帮助防范这种情况。

使用mac安全应用程序

自由敲打的原理是坚持。它在一个整洁的界面中列出了持久安装的应用程序及其组件。单击扫描按钮，KnockKnock将扫描可能存在恶意软件的所有已知位置。

左侧窗格包含持久化应用程序的类别、名称和简要说明。单击任何组以在右侧窗格中显示项目。例如，单击左窗格中的LaunchItems以查看所有LaunchAgent和LaunchDaemon。

每一行都提供了有关应用程序的详细信息。这包括已签名或未签名状态、文件路径以及来自VirusTotal的防病毒扫描结果。

Objective See的另一个免费安全应用程序BlockBlock持续监视持久性位置。该应用程序在后台运行，每当恶意软件向macOS添加持久性组件时，都会向您显示警报。

不过，并不是每个第三方PLIST文件都是恶意的。它们可能来自任何地方，包括：

• 已安装应用的组件
• 你不再使用的旧应用的残余
• 以前macOS升级的遗留问题
• 迁移助手剩余
• PUPs（可能不需要的程序）、广告软件和恶意软件。

你不想删除已安装应用的任何组件。不过，完全可以安全地删除旧应用程序的残余部分和以前macOS升级中的遗留部分（除非你想继续使用这些应用程序）。

这没有唯一的卸载过程——只需丢弃PLIST文件并重新启动。或者你也可以把它剪切粘贴到你的桌面上，这样你就可以复制一份，这样就安全了。不要从系统LaunchAgents或LaunchDaem***文件夹中删除任何项目，因为它们是macOS顺利运行所必需的。

广告软件和小狗在对付上是一个有名的挑战。任何时候，您都可以运行免费的Malwarebytes版本，如果需要额外保护，请考虑升级到Malwarebytes Premium。

对mac上的发射威胁保持谨慎

如果您遵循这些步骤，那么您将提前了解新的威胁，并可以解决任何问题。广告软件和幼犬正在流行起来，新的恶意软件变种层出不穷。

谢天谢地，macOS有很多方法来保护您的安全。

诀窍是监视这些文件夹并运行频繁的诊断检查。如果您有疑问，请使用Google搜索潜在的恶意进程名称。但是如果你避免了那些让你的Mac电脑感染恶意软件的错误，你就不必担心了。