启动项

对手可能会使用在启动初始化时自动执行的启动项来建立持久性。启动项在启动过程的最后阶段执行，包含shell脚本或其他可执行文件以及系统用于确定所有启动项执行顺序的配置信息。(引用: Startup Items) 这在技术上是一种已弃用的技术（被启动守护程序取代），因此适当的文件夹/Library/StartupItems默认情况下可能不存在于系统上，但在macOS Sierra上默认存在。启动项是一个目录，其可执行文件和配置属性列表（plist），StartupParameters.plist，位于顶级目录中。 对手可以在StartupItems目录中创建适当的文件夹/文件来注册他们自己的持久性机制。(引用: Methods of Mac Malware Persistence) 此外，由于启动项在macOS的启动阶段运行，它们将以提升的root用户身份运行。