登录钩子

对手可能会使用登录钩子在用户登录时执行以建立持久性。登录钩子是一个plist文件，指向一个特定的脚本，在用户登录时以root权限执行。plist文件位于/Library/Preferences/com.apple.loginwindow.plist文件中，可以使用defaults命令行实用程序进行修改。注销钩子的行为相同，其中脚本可以在用户注销时执行。所有钩子都需要管理员权限才能修改或创建钩子。(引用: Login Scripts Apple Dev)(引用: LoginWindowScripts Apple Dev) 对手可以在com.apple.loginwindow.plist文件中添加或插入指向恶意脚本的路径，使用LoginHook或LogoutHook键值对。恶意脚本将在下次用户登录时执行。如果已经存在登录钩子，对手可以向现有登录钩子添加额外的命令。系统一次只能有一个登录和注销钩子。(引用: S1 macOs Persistence)(引用: Wardle Persistence Chapter) 注意： 登录钩子在macOS 10.11版本中被弃用，取而代之的是启动守护程序和启动代理