Processo di avvio nascosto

Naviga le tue risposte
2

Ho un processo sul mio computer che continua a collegarsi al sistema. 

May  2 19:50:06 laptop com.apple.xpc.launchd[1] (com.coconut-flavour.coconutBattery-Helper[23430]): Could not find and/or execute program specified by service: 155: Refusing to execute/trust quarantined program/file: com.coconut-flavour.coconutBattery-Helper

Non riesco a capire dove si trova il processo.

Cosa ho provato: 

sudo launchctl list | grep com.coc

sudo find / -iname com.coconut-flavour.coconutBattery-Helper

Ho anche provato a campionare e trovare il processo nel servizio launchd nel monitor delle attività.

Non sembra esistere. Qualcuno sa cosa potrebbe succedere?

    
posta Dobler 03.05.2017 - 04:53
fonte

2 risposte

4

Perdona la mia assenza e la mia risposta prematura. Ok, portiamo questo al livello successivo.

Proviamo a localizzare coconutBattery o Sparkle, a carico, apparentemente. Trovi una "coconutBattery.app" in / Applicazioni o qualsiasi app simile? 

sudo find /Applications -iname "*coconut*" -print    
sudo find /Applications -iname "*sparkle*" -print

C'è una ricevuta del pacchetto rilevante nell'utility del pacchetto? 

sudo pkgutil --pkgs | grep -i coconut
sudo pkgutil --pkgs | grep -i sparkle

Un metodo bruto per trovare i plists, file delle preferenze: 

sudo grep -l -i "coconut" -r /System/Library/
sudo grep -l -i "sparkle" -r /System/Library/
sudo grep -l -i "coconut" -r /Library/
sudo grep -l -i "sparkle" -r /Library/

sudo grep -l -i "sparkle" -r /private/var/
sudo grep -l -i "sparkle" -r /private/etc/
sudo grep -l -i "coconut" -r /private/var/
sudo grep -l -i "coconut" -r /private/etc/

= - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - =

Situazione interessante.

Per prima cosa, determiniamo in quale contesto utente il servizio è in esecuzione: utente login o root. Sospetto che il servizio potrebbe essere in esecuzione nel contesto utente di login, il che spiegherebbe perché non lo troverai eseguendo ' elenco launchctl ' come root (tramite sudo ). Un rapido controllo: 

launchctl list | grep -i "com.coco"

Evita di anteporre "sudo" al comando launchctl.

Inoltre, l'id del processo è riportato nei messaggi syslog - trovati all'interno delle parentesi del blocco [].

com.coconut-flavour.coconutBattery-Helper[23430]

Il PID è 23430, in questo esempio. Suggerisco di usare un ps in questo modo: 

ps -wwwAxo pid,ppid,state,%mem,%cpu,command | grep -i coco

Oppure grep il PID che scopri dal syslog in questo modo: 

ps -wwwAxo pid,ppid,state,%mem,%cpu,command | grep 23430

Se la mia impressione è corretta, ed è sotto il contesto dell'utente di accesso che il servizio è in esecuzione, quindi individuare il plist offendente in qualcosa del tipo: 

/Users/[your login user's short name]/Library/LaunchAgents

Un metodo rapido e sporco: 

grep -r -i "coco" ~/Library/LaunchAgents/

Questo dovrebbe identificare l'intrusione offensiva. Se no, per favore fatemelo sapere e faremo la caccia al livello successivo.

    
risposta data 03.05.2017 - 12:52
fonte
2

Potresti provare l'utility LaunchControl. È gratuito e mostrerà tutti i launchdaemons / agenti, cosa fanno e ti permettono di disabilitare / abilitare. Molto utile.

link

    
risposta data 03.05.2017 - 15:57
fonte

Leggi altre domande sui tag

macOS, launchctl e dnsmasq per lo spoofing del dominio localhost È possibile masterizzare un DVD con video ad alta definizione 720HD?