作为持久化操作的一部分,攻击者可能会创建或修改系统级进程以重复执行恶意负载。当操作系统启动时,它们可以启动执行后台系统功能的进程。在 Windows 和 Linux 上,这些系统进程被称为服务。 在 macOS 上,运行称为 Launch Daemon 和 Launch Agent 的启动进程以完成系统初始化并加载用户特定参数。
攻击者可能会安装新的服务、守护程序或代理,这些服务、守护程序或代理可以配置为在启动时或可重复的时间间隔执行,以建立持久化后门。类似地,攻击者可能会修改现有的服务、守护进程或代理以达到相同的效果。
在实现基础方面,需要使用管理员权限创建服务、守护程序或代理,因此必须在 root/SYSTEM 权限下执行。
该方法适用于macOS中权限持久化场景。macOS使用/System/Library/LaunchAgents、/Library/LaunchAgents等实现自启动,作为