重新打开的应用程序

攻击者可能会修改plist文件以在用户登录时自动运行应用程序。当用户通过macOS图形用户界面（GUI）注销或重启时，系统会向用户提供一个提示，其中包含一个复选框“在重新登录时重新打开窗口”。(引用: Mac重新打开窗口) 当选中时，所有当前打开的应用程序都会添加到~/Library/Preferences/ByHost目录中名为com.apple.loginwindow.[UUID].plist的属性列表文件中。(引用: Mac恶意软件持久性方法)(引用: Wardle持久性章节) 列在此文件中的应用程序将在用户下次登录时自动重新打开。 攻击者可以通过将恶意应用程序路径添加到com.apple.loginwindow.[UUID].plist文件中来建立持久性，以便在用户登录时执行负载。