Come si impedisce il riavvio automatico di un processo? (in particolare, sophos antivirus)

10

Sono richiesto dal mio software VPN per avere Sophos anti-virus installato e funzionante. Tuttavia, quando NON sono su VPN, non voglio affatto che funzioni - lo voglio morto.

Tuttavia, uccidere le attività è inefficace:

ps -ax | grep -i soph
40972 ??         0:07.34 /Library/Sophos Anti-Virus/SophosAutoUpdate.app/Contents/MacOS/SophosAutoUpdate -d
41069 ??        28:08.48 /Library/Sophos Anti-Virus/InterCheck.app/Contents/MacOS/InterCheck -d
41078 ??         0:02.42 /Library/Sophos Anti-Virus/SophosAntiVirus.app/Contents/MacOS/SophosAntiVirus -d
$ sudo kill 40972 41069 41078 41084
$ ps -ax | grep -i soph
44344 ??         0:00.03 /Library/Sophos Anti-Virus/SophosAutoUpdate.app/Contents/MacOS/SophosAutoUpdate -d
44345 ??         0:00.02 /Library/Sophos Anti-Virus/SophosAntiVirus.app/Contents/MacOS/SophosAntiVirus -d
44347 ??         0:03.03 /Library/Sophos Anti-Virus/InterCheck.app/Contents/MacOS/InterCheck -d

Si riavvia automaticamente. Cosa devo fare per impedirlo?

    
posta keflavich 17.09.2011 - 18:37
fonte

5 risposte

14

Ciò significa che esiste un altro processo di monitoraggio che lo riavvia.

Puoi controllare chi è il processo genitore: seleziona il processo nel monitoraggio dell'attività e usa il pulsante Info, o tramite terminale con ps -ax -O ppid se ricordo correttamente.

  • Potrebbe essere un altro processo di Sophos ma con un nome stealth, o forse anche il tuo software VPN. In tal caso puoi solo kill 'em all.

  • L'altra possibilità è che il processo venga tenuto in vita dal daemon di avvio launchd . In questo caso troverai una voce (un file XML plist) per il tuo antivirus in ~/Library/LaunchAgents , /Library/LaunchAgents (probabile) o /System/Library/LaunchAgents (spero vivamente di no).

Se il secondo è il caso, puoi:

  • Modifica il file e modifica il parametro KeepAlive, rimuovendolo o modificandolo (puoi fare cose buone, vedi i documenti per ulteriori informazioni).

  • Basta chiedere a launchd di fermarsi per te. Sfortunatamente non puoi semplicemente dire a launchtl stop dato che il processo dovrebbe solo rigenerarsi. Dovrai usare sudo launchctl unload /path/to/the/plist file

risposta data 17.09.2011 - 21:41
fonte
6

Vorrei commentare il post di Agos, ma sono troppo nuovo per farlo. Quindi:

Per quanto mi ricordo dovrebbero avere un agente di lancio in /Library/LaunchAgents . Ti chiederei di fare un ls /Library/LaunchAgents , ls /Library/LaunchDaemons e ls /System/Library/LaunchDaemons . Qualcosa mostrerà .

Puoi anche aprire /Applications e controllare Disinstalla Sophos.app con Show Package Contents , quindi controlla lo script di disinstallazione.

    
risposta data 18.09.2011 - 19:39
fonte
3
man launchctl


launchctl list |grep -i 'sophos'

per scaricare un daemon in modo permanente, ma non disinstallarlo

launchctl unload -w /full/path/to/file.plist
    
risposta data 27.09.2011 - 20:54
fonte
1

Per scoprire quale launchd di lavoro sta generando di nuovo le cose, tail -f /var/log/system.log e sudo kill -9 <pid> del processo che ti interessa.

All'improvviso, launchd ti dirà esattamente quale lavoro è responsabile:

com.apple.launchd[1] (com.sophos.managementagent[83911]): Exited: Killed: 9

Puoi anche provare ad aumentare il livello del registro per determinare con precisione cosa sta succedendo: launchctl log level debug

Ricorda che alcuni lavori verranno eseguiti come root , quindi sudo launchctl list potrebbe mostrare alcuni lavori extra in esecuzione sul tuo computer.

    
risposta data 01.12.2015 - 13:34
fonte
0

Puoi anche controllare quali Launch Agent e Demoni eseguire e quando con l'utile app Lingon, disponibile attraverso l'App store Mac e online.

    
risposta data 19.09.2011 - 06:46
fonte

Leggi altre domande sui tag