Come si impedisce il riavvio automatico di un processo? (nello specifico, sophos antivirus)


13

Il mio software VPN mi richiede l'installazione e l'esecuzione dell'antivirus di Sophos. Tuttavia, quando NON sono su VPN, non voglio che funzioni, lo voglio morto.

Tuttavia, uccidere i compiti è inefficace:

ps -ax | grep -i soph
40972 ??         0:07.34 /Library/Sophos Anti-Virus/SophosAutoUpdate.app/Contents/MacOS/SophosAutoUpdate -d
41069 ??        28:08.48 /Library/Sophos Anti-Virus/InterCheck.app/Contents/MacOS/InterCheck -d
41078 ??         0:02.42 /Library/Sophos Anti-Virus/SophosAntiVirus.app/Contents/MacOS/SophosAntiVirus -d
$ sudo kill 40972 41069 41078 41084
$ ps -ax | grep -i soph
44344 ??         0:00.03 /Library/Sophos Anti-Virus/SophosAutoUpdate.app/Contents/MacOS/SophosAutoUpdate -d
44345 ??         0:00.02 /Library/Sophos Anti-Virus/SophosAntiVirus.app/Contents/MacOS/SophosAntiVirus -d
44347 ??         0:03.03 /Library/Sophos Anti-Virus/InterCheck.app/Contents/MacOS/InterCheck -d

Si riavvia automaticamente. Cosa devo fare per evitarlo?


È possibile che nel software Sophos sia preferibile disattivarlo?
daviesgeek,

Non per quanto posso dire; se è lì, è nascosto.
keflavich,

Risposte:


17

Ciò significa che esiste un altro processo di monitoraggio che lo riavvia.

È possibile verificare chi è il processo principale: selezionare il processo nel monitor attività e utilizzare il pulsante Info, o tramite terminale con ps -ax -O ppidse ricordo correttamente.

  • Potrebbe essere un altro processo di Sophos ma con un nome nascosto o forse anche il tuo software VPN. In tal caso, puoi semplicemente killtutto.

  • L'altra possibilità è che il daemon di lancio mantenga vivo il processo launchd. In questo caso troverai una voce (un file XML plist) per il tuo antivirus in ( ~/Library/LaunchAgents, /Library/LaunchAgentsprobabilmente) o /System/Library/LaunchAgents(spero vivamente di no).

Se il secondo è il caso, puoi:

  • Modifica il file e modifica il parametro KeepAlive, rimuovendolo o modificandolo (puoi fare cose interessanti, vedere i documenti per ulteriori informazioni).

  • Chiedi a launchd di fare la sosta per te. Sfortunatamente non puoi semplicemente dirlo launchtl stopperché il processo si rigenererebbe. Dovrai usare
    sudo launchctl unload /path/to/the/plist file


Grazie Agos, questo è esattamente il consiglio che stavo cercando. Tuttavia, non riesco a trovare la maledetta cosa! Non ci sono PID con numeri vicini (l'originale, pre-ucciso) Sophos Anti-Virus che posso associare ad esso. Nulla è emerso nelle directory LaunchAgents (anche se tutto quello che ho fatto è stato un semplice controllo regex in / System /). Esiste un file di registro in cui launchd registrerebbe il riavvio di un processo? Ho controllato system.log e altri senza fortuna ...
keflavich,

Il file per me era qui /Library/LaunchDaemons/com.sophos.common.servicemanager.plist- puoi trovarlo tramite mdfind -name Sophos. Rimozione del parametro Keep Alive funzionato.
Dhruv Ghulati,

Non funziona per i processi in / Sistema / Libreria / LaunchDaemons - OSX ti dà un errore "Impossibile trovare il servizio specificato"
Adam

7

Commenterei il post di Agos, ma sono troppo nuovo per farlo. Così:

Per quanto ricordo, dovrebbero avere un agente di lancio /Library/LaunchAgents. Ti chiedo solo di fare un ls /Library/LaunchAgents, ls /Library/LaunchDaemonse ls /System/Library/LaunchDaemons. Qualcosa apparirà .

Inoltre è possibile aprire /Applicationse selezionare Disinstalla Sophos.app con Show Package Contentsquindi controllare lo script di disinstallazione.


1
Grazie fantasma. La directory che Agos ha lasciato fuori era / Library / LaunchDaemons, che ha il file plist. Ti ho dato un +1, ma Agos la risposta, dal momento che ha ottenuto la maggior parte. Apprezzo molto l'assistenza!
keflavich,

Assicurati di far girare i riflettori per cercare i file Sophos rimasti indietro dopo il 'disinstallare' mdfind -name Sophos
chiggsy,

@chiggsy perché dovrebbe farlo? Non vuole disinstallare l'applicazione ma impedire che si riavvii ogni volta che la uccide.
GhostLripts

Questo è tutto? Questo è tutto ciò che vuole?
Chiggsy,

4
man launchctl


launchctl list |grep -i 'sophos'

scaricare un demone in modo permanente, ma non disinstallarlo

launchctl unload -w /full/path/to/file.plist

1
Questa è la risposta "migliore" perché impedirà anche che si carichi mai (-w)
Dustin,

Sophos si nasconde. Questo non funziona su Sophos.
Ben

1

Per scoprire quale launchdlavoro sta generando le cose indietro tail -f /var/log/system.loge sudo kill -9 <pid>il processo che ti interessa.

Improvvisamente, launchdti dirà esattamente quale lavoro è responsabile:

com.apple.launchd[1] (com.sophos.managementagent[83911]): Exited: Killed: 9

Puoi anche provare ad aumentare il livello di registro per determinare con precisione cosa sta succedendo: launchctl log level debug

Tieni presente che alcuni lavori verranno eseguiti come root, quindi sudo launchctl listpotrebbero mostrarti altri lavori in esecuzione sul tuo computer.


0

Puoi anche controllare quale Launch Agent e Daemon eseguono e quando con l'utile app Lingon, disponibile tramite il Mac App Store e online.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.