创建或修改系统进程

对手可能会创建或修改系统级进程以重复执行恶意有效负载作为持久性的一部分。当操作系统启动时，它们可以启动执行后台系统功能的进程。在 Windows 和 Linux 上，这些系统进程称为服务。(引用: TechNet Services) 在 macOS 上，称为 Launch Daemon 和 Launch Agent 的 launchd 进程用于完成系统初始化并加载用户特定参数。(引用: AppleDocs Launch Agent Daemons) 对手可能会安装新的服务、守护进程或代理，这些可以配置为在启动时或在可重复的时间间隔执行，以建立持久性。同样，对手可能会修改现有的服务、守护进程或代理以实现相同的效果。 服务、守护进程或代理可能会以管理员权限创建，但以 root/SYSTEM 权限执行。对手可能会利用此功能创建或修改系统进程以提升权限。(引用: OSX Malware Detection)