Macで非表示のLaunchDaemonsとLaunchAgentsをキャッチして削除する方法

非表示のログイン項目は、Macユーザーにあらゆる種類の問題を引き起こす可能性があります。アプリはメニューバーに表示される場合がありますが、ログイン項目には表示されない場合があります。 Safariは、アドウェアサイトにリダイレクトしたり、許可なくホームページを変更したりする場合があります。また、未知のプロセスがバックグラウンドでシステムリソースを引きずる可能性があります。

残念ながら、これらのタイプの予期しないイベントでは、ログイン項目からアプリを削除するだけでは問題を解決できません。これは、隠されたLaunchDaemonsとLaunchAgentsがそれらを保持しているためです。これらは、通常のmacOSインターフェイスからはアクセスできません。

ここでは、これらの非表示のLaunchDaemonsとLaunchAgentsを監視してアクションを実行し、Mac固有の問題をトラブルシューティングする方法を示します。

macOSスタートアップルーチンを理解する

電源ボタンを押すと、Macは一連のよく知られたイベントで起動します。

• 起動音が聞こえます。
• 進行状況バーとともにAppleロゴが表示されます。
• これが完了すると、ログイン画面が表示されます（自動ログインが有効になっている場合はデスクトップ）。

舞台裏では、macOSが起動を開始します 処理する。これは、システムや個々のユーザーアカウントを含む、他のすべてのプロセスの開始、停止、および管理を担当します。プロセスは高度に最適化されており、ほんの数秒で完了します。

これを自分で調べるには、 Activity Monitorを開きます アプリをクリックし、[表示]>[すべてのプロセス]を選択します 。上部には、2つの主要なプロセスが表示されます。 kernel_task および起動 、プロセスID（PID）を 0として および1 。

これは、起動であることを示しています システム起動時の主要な親プロセスです。これは、システムがシャットダウンしたときに終了する最後のプロセスでもあります。

起動の中心的な責任 スケジュールまたはオンデマンドで他のプロセスまたはジョブを起動することです。これらには2つのタイプがあります： LaunchDaemons およびLaunchAgents 。

LaunchDaemonsとLaunchAgentsとは何ですか？

LaunchDaemonsは通常、rootとして実行されます。つまり、ユーザーがログインしているかどうかに関係なく機能します。グラフィカルユーザーインターフェイスを使用して情報を表示することはできず、システム全体に影響します。

たとえば、場所を特定 プロセスはMacの地理的位置を検出し、 bluetoothd プロセスはBluetoothを管理します。デーモンのリストは次の場所にあります：

• / System / Library / LaunchDaemons ネイティブmacOSプロセスの場合
• / Library / LaunchDaemons インストールされているサードパーティアプリの場合

Mac LaunchAgentは、ユーザーがログインすると起動します。デーモンとは異なり、ユーザーインターフェイスにアクセスして情報を表示できます。たとえば、カレンダーアプリは、ユーザーのカレンダーアカウントでイベントを監視し、イベントが発生したときに通知することができます。エージェントのリストは次の場所にあります：

• / Library / LaunchAgents すべてのユーザーアカウント用
• 〜/ Library / LaunchAgents 特定のユーザーアカウントの場合
• / System / Library / LaunchAgents macOSの場合のみ

ログインする前に、起動 .plistで指定されたサービスおよびその他のコンポーネントを実行します LaunchDaemonsフォルダーのファイル。ログインしたら、起動 .plistで定義されたサービスとコンポーネントを実行します LaunchAgentsフォルダーからのファイル。 /システム/ライブラリにあるもの これらはすべてmacOSの一部であり、システム整合性保護によって保護されています。

.plist設定ファイルは、標準の逆ドメインネームシステムに従います。これは、会社名で始まり、アプリケーションIDが続き、プロパティリストファイル拡張子（.plist）で終わります。たとえば、 co.clario.Clario.plist Clarioアプリのヘルパーファイルです。

LaunchDaemonsとLaunchAgentsをキャッチする方法

システムのものとは異なり フォルダ、パブリック LaunchDaemon およびLaunchAgent フォルダは、正規のアプリと不正なアプリの両方に開かれています。これらのフォルダは、フォルダアクションを使用して自動的に監視できます。

AppleScriptエディタを開きます Spotlightで検索してアプリ。 設定をクリックします 一般>メニューバーにスクリプトメニューを表示を選択します 。

スクリプトメニューをクリックします アイコンをクリックし、フォルダアクション>フォルダアクションを有効にするを選択します 。次に、フォルダにスクリプトを添付を選択します 同じメニューで。

ダイアログボックスが表示されます。ここから、追加-新しいアイテムのアラートを選択します 。

OKをクリックします Finderウィンドウを開きます。次に、ユーザーLaunchDaemonフォルダー（上記のリスト）を選択し、選択をクリックします。 。

MacのすべてのLaunchAgentsフォルダについても上記の手順を繰り返します。

完了したら、Finderを開き、[移動>フォルダに移動]をクリックします。 またはShift+ Cmd + Gを押します ナビゲーションダイアログボックスを開きます。 〜/ Library / LaunchAgentsと入力します 移動をクリックします 。

LaunchAgentsを右クリックします フォルダをクリックし、サービス>フォルダアクションの設定を選択します 新しいアイテムアラートスクリプトを各フォルダにバインドします。

ポップアップ表示されるダイアログボックスで、左側の列にフォルダのリストが表示され、右側の列にスクリプトが表示されます。スクリプトが表示されない場合は、プラスをクリックします （ + ）ボタンを押して、新しいアイテムalert.scptを追加します 。

これらの手順を実行した後、macOSは、これらのフォルダの1つに新しいアイテムが追加されるたびにアラートポップアップを表示し、バックグラウンドでシステムに自分自身を挿入しようとする不正なアプリを見つけることができます。

アプリでこれらのフォルダーを監視することを検討してください

これらのフォルダのアラートにいくつかの追加オプションが必要な場合は、いくつかのサードパーティツールを試すことができます。

EtreCheckは、サードパーティのLaunchDaemonsおよびLaunchAgentsのロードステータスなどの情報を表示するmacOS診断ツールです。 EtreCheckを実行すると、Macに関するさまざまな情報が収集され、読みやすいレポートに表示されます。また、アドウェア、疑わしいデーモンとエージェント、署名されていないファイルなどを処理する際の追加のヘルプオプションもあります。

EtreCheckを開き、スキャンをクリックします 。これには数分かかります。完了すると、コンピューターの完全な概要が表示されます。これには、メジャーとマイナーの問題、ハードウェア仕様、ソフトウェアの互換性の問題、LaunchDaemonsとLaunchAgentsのステータスなどが含まれます。

このアプリは最初の5つのレポートでは無料ですが、継続して使用するには17.99ドルのアプリ内購入が必要です。

Lingon Xは、アプリやスクリプトを起動したり、スケジュールに従ってコマンドを自動的に実行したりできるもう1つのツールです。また、バックグラウンドですべてのLaunchDaemonsフォルダーとLauchAgentsフォルダーを監視し、何かが変更されたときに通知を表示することもできます。すべてのアイテムをグラフィカルに表示し、必要に応じて調整できます。

このツールは無料で試すことができますが、フルライセンスの場合は14.99ドルかかります。

LaunchDaemonsとLaunchAgentsを削除する方法

パブリック/Library / LaunchAgents および/Library / LaunchDaemons フォルダは、正規のアプリと不正なアプリの両方に対して脆弱です。正当なアプリがそれらをマーケティングに使用する可能性がありますが、悪意のあるアプリがそれらを使用してデータを盗み、Macに感染する可能性があります。

アドウェアとマルウェアが成功するには、すべてのユーザーセッションで存続する必要があります。これを行うために、マルウェアとアドウェアの作成者は悪意のあるコードを作成し、それをLaunchAgentまたはLaunchDaemonフォルダーに配置します。 Macが起動するたびに、起動 悪意のあるコードが自動的に実行されるようにします。ありがたいことに、セキュリティアプリはこれを防ぐのに役立ちます。

Macセキュリティアプリを使用する

無料のKnockKnockアプリは、永続性の原則に基づいて動作します。永続的にインストールされるアプリとそのコンポーネントを適切なインターフェイスに一覧表示します。 スキャンをクリックします ボタンをクリックすると、KnockKnockはマルウェアが存在する可能性のあるすべての既知の場所をスキャンします。

左側のペインには、永続的なアプリのカテゴリと、名前と簡単な説明が含まれています。いずれかのグループをクリックして、右側のペインにアイテムを表示します。たとえば、[アイテムの起動]をクリックします 左側のペインで、すべてのLaunchAgentとLaunchDaemonを表示します。

各行には、アプリに関する詳細情報が表示されます。これには、署名済みまたは未署名のステータス、ファイルへのパス、VirusTotalからのウイルス対策スキャンの結果が含まれます。

BlockBlockはObjectiveのもう1つの無料のセキュリティアプリです-永続性の場所を継続的に監視していることを確認してください。アプリはバックグラウンドで実行され、マルウェアが永続的なコンポーネントをmacOSに追加するたびにアラートを表示します。

ただし、すべてのサードパーティの.plistファイルが悪意のあるわけではありません。それらは、次のようなどこからでも発生する可能性があります。

• インストールされたアプリのコンポーネント
• 使用しなくなった古いアプリの残骸
• 以前のmacOSアップグレードの残り物
• 移行アシスタントの残り物
• PUP（望ましくない可能性のあるプログラム）、アドウェア、およびマルウェア。

インストールされているアプリのコンポーネントを削除したくない。ただし、以前のmacOSアップグレードから古いアプリや残り物を削除することは完全に安全です（これらのアプリを引き続き使用する場合を除く）。

これには独自のアンインストールプロセスはありません。.plistファイルをゴミ箱に捨ててMacを再起動するだけです。または、それを切り取ってデスクトップに貼り付け、コピーを安全な場所に保管することもできます。 システムLaunchAgentsからアイテムを削除しないでください またはシステムLaunchDaemons macOSをスムーズに実行するために必要なフォルダ。

アドウェアとPUPは、取り組むのが難しいことで有名です。疑問があるときはいつでも、

を実行してください

Malwarebytesの無料バージョンで、追加の保護が必要な場合はMalwarebytesPremiumへのアップグレードを検討してください。

Macでの起動の脅威に注意してください

これらの手順に従うと、新しい脅威について事前に知ることができ、問題を解決できます。アドウェアとPUPの人気が高まっており、マルウェアの新しい亜種が常に登場しています。ありがたいことに、macOSにはあなたを安全に保つ方法がたくさんあります。

秘訣は、これらのフォルダーを監視し、頻繁に診断チェックを実行することです。疑わしい場合は、悪意のある可能性のあるプロセス名を常にGoogleで検索してください。ただし、Macでマルウェアにつながるミスを回避すれば、心配する必要はありません。