重启应用程序
从 Mac OS X 10.7 (Lion) 开始,用户可以指定在重启机器时要重新打开的应用程序。
虽然这通常是通过基于每个应用程序的图形用户界面(GUI)完成的,但是属性列表文件 (plist) 也包含这些信息,它们位于~/Library/Preferences/com.apple.loginwindow.plist 和~/Library/Preferences/ByHost/com.apple.loginwindow.*.plist。
攻击者可以直接修改其中一个文件,使其包含指向恶意可执行文件的链接,以便在用户每次重启机器 时提供持久化机制。
缓解
在登录时按住 Shift 键可以防止自动打开应用程序 。
可以使用以下终端命令完全禁用这个功能:defaults write -g ApplePersistence -bool no.
检测
监视与重启应用程序相关联的特定 plist 文件可以表明应用程序何时已注册其自身以重新打开。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论