你有沒有在你的Mac電腦上經歷過這些挫折？

• 應用程序會出現在菜單欄中，但不會出現在您的登錄項中。
• Safari會在未經您允許的情況下重定向到廣告軟件網站或更改其主頁。
• 未知進程在後臺消耗CPU。

不幸的是，對於這些類型的意外事件，從登錄項中刪除應用程序不足以解決問題。有許多潛在的隱藏組件，蘋果並沒有在典型的macOS界面中公開它們。

我們將向您展示如何監視這些隱藏的登錄項並對其採取操作，以解決獨特的Mac問題。

瞭解macos啟動例程

當您按下電源按鈕時，Mac會啟動一系列熟悉的事件：

• 您會聽到啟動聲音（較新的Mac不會這樣做）。
• Apple徽標將與進度條一起出現。
• 完成後將顯示登錄屏幕（如果啟用了自動登錄，則顯示桌面）。

在幕後，macOS啟動啟動過程。它負責啟動、停止和管理每個其他進程，包括系統和單個用戶帳戶。這個過程是高度優化的，只需要幾分鐘。

要親自檢查此問題，請打開“活動監視器”應用程序，然後選擇“查看”&gt；“所有進程”。在頂部，您將看到兩個主要進程：kernel\u task和launchd，它們的進程id（PID）分別為0和1。

這表明launchd是系統啟動時的主要父進程。這也是系統關閉時退出的最後一個進程。

launchd的核心職責是按計劃或按需啟動其他進程或作業。它們有兩種類型：launchdaemon和LaunchAgents。

什麼是啟動守護程序和啟動代理(launchdaem*** and launchagents)？

啟動守護進程通常以root用戶身份運行，而不管用戶是否登錄。它們不能使用圖形用戶界面顯示信息並影響整個系統。

例如，locationd進程檢測Mac的地理位置，而Bluetooth進程管理藍牙。守護程序列表位於以下位置：

• /System/Library/LaunchDaem***for native macOS processes
• /Library/LaunchDaem***for installed third-party apps

當用戶登錄時啟動代理。與守護進程不同，它們可以訪問用戶界面並顯示信息。例如，日曆應用程序可以監視用戶的日曆帳戶中的事件，並在事件發生時通知您。代理人名單位於以下地點：

• /Library/LaunchAgentsfor all user accounts
• ~/Library/LaunchAgentsfor a specific user account
• /System/Library/LaunchAgentsfor macOS only

在登錄之前，launchd從LaunchDaem***文件夾運行PLIST文件中指定的服務和其他組件。登錄後，launchd將運行LaunchAgents文件夾中PLIST文件中定義的服務和組件。/System/Library中的那些都是macOS的一部分，並受系統完整性保護。

首選項文件遵循標準的反向域命名系統。它以公司名稱開始，後跟應用程序標識符，以屬性列表文件擴展名（.PLIST）結束。例如，at.obdev.LittleSnitchHelper文件.plist是LittleSnitch應用程序的幫助文件。

如何捕獲啟動守護程序和啟動代理

與系統文件夾中的文件夾不同，public LaunchDaemon和LaunchAgent文件夾對合法和非法應用都開放。您可以使用文件夾操作自動監視這些文件夾。

通過在Spotlight中搜索打開AppleScript編輯器應用程序。單擊“首選項”，然後選擇“常規”&gt；“在菜單欄中顯示腳本菜單”。

單擊“腳本”菜單圖標，然後選擇“文件夾操作”&gt；“啟用文件夾操作”。然後在同一菜單中選擇“將腳本附加到文件夾”。

將彈出一個對話框。從這裡，選擇add-new item alert。

單擊“確定”打開查找器窗口。現在選擇userlaunchdaemon文件夾（上面列出）並單擊Choose。

對每個LaunchAgents文件夾重複上述步驟。

完成後，打開Finder並單擊“轉到”&gt；“轉到文件夾”，或按Shift+Cmd+G打開“導航”對話框。鍵入~/Library/LaunchAgents並單擊Go。

右鍵單擊LaunchAgents文件夾，然後選擇Services&gt；folder Acti*** Setup將新項目警報腳本綁定到每個文件夾。

在彈出的對話框中，您將看到左側列中的文件夾列表，右列中的腳本。如果您沒有看到任何腳本，請單擊“加號”按鈕並添加新項目警報.scpt.

考慮使用應用程序監視這些文件夾

如果您想為這些文件夾上的警報提供一些附加選項，可以嘗試使用一些第三方工具。

eTracheck是一個macOS診斷工具，它顯示第三方啟動守護程序和啟動代理的加載狀態以及其他信息。運行eTracheck時，它會收集有關Mac的各種信息，並以易於閱讀的報告形式顯示這些信息。在處理廣告軟件、可疑守護程序和代理、未簽名文件等時，它還提供了其他幫助選項。

打開eTracheck並單擊“掃描”。這將需要幾分鐘，一旦完成，您將看到您的計算機的完整摘要。這包括主要和次要問題、硬件規範、軟件兼容性問題、啟動守護程序和啟動代理的狀態等等。

該應用程序對前五份報告是免費的，然後需要在應用程序內購買10美元才能繼續使用。

LingonX是另一個工具，它可以讓你啟動一個應用程序，一個腳本，或者按照計劃自動運行一個命令。它還可以在後臺監視所有LaunchDaem***和LauchAgents文件夾，並在發生更改時顯示通知。您可以以圖形方式查看所有項目，並根據需要進行調整。

這個工具是****的，一個完整的許可證需要15美元。

如何刪除啟動守護程序和啟動代理

public/Library/LaunchAgents和/Library/LaunchDaem***文件夾容易受到合法和非法應用程序的攻擊。合法的應用程序可能會將其用於營銷，而非法的應用程序可能會利用它們竊取數據並感染系統。

要使廣告軟件和惡意軟件成功，它們必須在每個用戶會話中持久存在。為此，惡意軟件和廣告軟件作者創建惡意代碼並將其放入LaunchAgent或LaunchDaemon文件夾。每次Mac啟動時，launchd都會確保惡意代碼自動運行。謝天謝地，安全應用程序可以幫助防範這種情況。

使用mac安全應用程序

自由敲打的原理是堅持。它在一個整潔的界面中列出了持久安裝的應用程序及其組件。單擊掃描按鈕，KnockKnock將掃描可能存在惡意軟件的所有已知位置。

左側窗格包含持久化應用程序的類別、名稱和簡要說明。單擊任何組以在右側窗格中顯示項目。例如，單擊左窗格中的LaunchItems以查看所有LaunchAgent和LaunchDaemon。

每一行都提供了有關應用程序的詳細信息。這包括已簽名或未簽名狀態、文件路徑以及來自VirusTotal的防病毒掃描結果。

Objective See的另一個免費安全應用程序BlockBlock持續監視持久性位置。該應用程序在後臺運行，每當惡意軟件向macOS添加持久性組件時，都會向您顯示警報。

不過，並不是每個第三方PLIST文件都是惡意的。它們可能來自任何地方，包括：

• 已安裝應用的組件
• 你不再使用的舊應用的殘餘
• 以前macOS升級的遺留問題
• 遷移助手剩餘
• PUPs（可能不需要的程序）、廣告軟件和惡意軟件。

你不想刪除已安裝應用的任何組件。不過，完全可以安全地刪除舊應用程序的殘餘部分和以前macOS升級中的遺留部分（除非你想繼續使用這些應用程序）。

這沒有唯一的卸載過程——只需丟棄PLIST文件並重新啟動。或者你也可以把它剪切粘貼到你的桌面上，這樣你就可以複製一份，這樣就安全了。不要從系統LaunchAgents或LaunchDaem***文件夾中刪除任何項目，因為它們是macOS順利運行所必需的。

廣告軟件和小狗在對付上是一個有名的挑戰。任何時候，您都可以運行免費的Malwarebytes版本，如果需要額外保護，請考慮升級到Malwarebytes Premium。

對mac上的發射威脅保持謹慎

如果您遵循這些步驟，那麼您將提前瞭解新的威脅，並可以解決任何問題。廣告軟件和幼犬正在流行起來，新的惡意軟件變種層出不窮。

謝天謝地，macOS有很多方法來保護您的安全。

訣竅是監視這些文件夾並運行頻繁的診斷檢查。如果您有疑問，請使用Google搜索潛在的惡意進程名稱。但是如果你避免了那些讓你的Mac電腦感染惡意軟件的錯誤，你就不必擔心了。