重启应用程序

从 Mac OS X 10.7 (Lion) 开始，用户可以指定在重启机器时要重新打开的应用程序。
虽然这通常是通过基于每个应用程序的图形用户界面（GUI）完成的，但是属性列表文件 (plist) 也包含这些信息，它们位于~/Library/Preferences/com.apple.loginwindow.plist 和~/Library/Preferences/ByHost/com.apple.loginwindow.*.plist。
攻击者可以直接修改其中一个文件，使其包含指向恶意可执行文件的链接，以便在用户每次重启机器 时提供持久化机制。

缓解

在登录时按住 Shift 键可以防止自动打开应用程序 。
可以使用以下终端命令完全禁用这个功能：defaults write -g ApplePersistence -bool no.

检测

监视与重启应用程序相关联的特定 plist 文件可以表明应用程序何时已注册其自身以重新打开。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn