Що таке "YaraScanService", що з’являється у macOS Mojave Beta (10.14) та macOS High Sierra (10.13.6)?

Я щойно оновив до macOS Mojave версії 10.14 Beta, і я помітив новий процес, який називається YaraScanService. Процес споживає занадто багато оперативної пам’яті (близько 10 ГБ). Я вбив процес за допомогою Monitor Monitor, але він повернувся через годину.

Що це за процес і чим він саме займається?
Чи є спосіб вимкнути його та / або зупинити його від запорошеної пам'яті?

macos memory cpu

— Фарабі Абдельвахед
джерело

Це з інструмента видалення шкідливих програм Apple (/System/Library/CoreServices/MRT.app/). Дивіться в 10.14 Beta 2 - що робить YaraScanService? . Див. Як видалити Yarascan з OSX? а що таке програма MRT? . Це результат оновлення Mojave і з часом слід припинити сканування. Не видаляйте MRT.app, якщо ви взагалі покладаєтесь на функції безпеки Apple.

— користувач187561

Також дивіться тільки те, від чого XProtect та MRT захищають ваш Mac? .

— користувач187561

Чи є далеко, щоб обмежити його використання барана? або це витрата на використання бета-версії

— Farabi Abdelwahed

Відповіді:

MRT / YaraScan - це антивірусний інструмент, захищений авторським правом MacOS. Причина його нецензурної пам’яті - це те, що в OSX немає офіційного антивірусу.

Простіше кажучи, YaraScan є однією з частин "набору нестабільності" тут; https://www.volatilityfoundation.org/about

Зрозумійте, що вірус та незаконно піратський матеріал виявляються лише за допомогою "підпису" набору кодових шляхів, і обидва часто покладаються на помилки, подвиги та слабкі виправлення, тому варто лише очікувати, що найсильніший сучасний антивірус виростав із авторських прав інструмент виявлення порушень.

YaraScan запускається один раз після оновлення Mojave, а потім видаляє себе. Було також помічено, що існує певна система MacOS в рамках MRT. Причина, в якій використовується стільки пам’яті, полягає в тому, що, якщо інше не запрограмовано (як це відмова від відмови), процес, який повинен сканувати велику кількість файлів на файл невідомого розміру, який може бути зашифрований у вказані шукані файли, буде використовувати великий кількість неактивної пам'яті для збереження всіх розшифрованих відсканованих файлів протягом обмеженого періоду часу, якщо вони знову потрібні. Чому? Оскільки порожня оперативна пам’ять даремно ОЗУ, я маю на увазі, що ви все одно повинні давати їй ват, тому навіщо видаляти речі на ній, коли щось інше не хоче бути там? На його повернення потрібно 100 разів більше.

Що ще важливіше, якщо ви Filevault або APFS, ВСІ ці дані шифруються і повинні бути розшифровані для читання. Багатьом додаткам насправді потрібно запустити та сканувати, коли вони завантажуються, оскільки багато файлів можуть зібратися разом, щоб створити загрозу в просторі пам'яті як єдиний "паралельний файл". Віруси можна частково зберігати в дилібі для абсолютно не пов’язаних програм.

Велика кількість часу активно визначається Grand Central Dispatch у вашому mac, і як тільки ви спробуєте скористатись програмою, яка потребує такої логічної оперативної пам’яті, вона спробує її очистити. Зауважте, що віртуальна пам'ять у цьому випадку повинна бути великою, оскільки всі розшифровані речі краще зберігатись там, поки ви буквально не залишилися у просторі, ніж видаляєтеся на вторинному проході незабаром після створення багаторазово.

Це нова поведінка в епоху SSD, щоб максимально збільшити термін експлуатації над чутливістю. Поточна поведінка GCD говорить про те, що уповільнення відбувається від швидкого процесора, створюючи розшифровані дані швидше, ніж це можна записати на диск та інші запити в оперативну пам'ять, дочекавшись завершення SSD / HDD.

— user1901982
джерело

Тож Apple прослуховує сховища людей без їх відома? Як це не новина на перших сторінках a-la Sony DRM-ворота?

— dhchdhd

YaraScan runs once after Mojave update, and then deletes itself. Він працює для мене після паніки ядра, тому я припускаю, що система завантажує його з диска відновлення за потреби. Просто FYI.

— Шелтон

Приємно знати, що це угода, яка проводиться одноразово. Я просто оновив свою ОС після виникнення низки проблем, а потім побачення незнайомої програми, пов’язаної з вірусом, викликав занепокоєння.

— Ден Лофні

Він точно не видалив себе після запуску на моїй машині. На піку монітор активності показав це, використовуючи 80,50 ГБ оперативної пам’яті (мій ящик має 32 Гб фізичного таран). Я дав йому працювати, поки процес зник. Виконаний файл все ще існує в /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. Це на macOS 10.13.6.

— pjv

YaraScan зараз є частиною XProtect / MRT / Gatekeeper. MRT - це буквально інструмент видалення зловмисного програмного забезпечення. До 10.13 я вважаю, що це в інсталяторі, але я перебуваю в тій же системі і не маю її. Я оновлю цю відповідь, щоб відобразити це. Що стосується великого використання оперативної пам’яті, то врахуйте, що це віртуальна пам’ять, файл AKA - на диску розміром X (при цьому бонус цього файлу завжди видаляється на близькому рівні). Він буде набагато більшим, ніж оперативна пам’ять через те, що MRT не буде використовувати багато оперативної пам’яті для зберігання розшифрованих байтів, просто скиньте її на диск, поки у вас не залишиться місця, а потім переживайте про видалення.

— користувач1901982

Він також працює на 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Схоже, https://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

— dhchdhd
джерело

Справді. З того, що я можу сказати, YaraScanService є лише частиною MRT, і принаймні в 10.13.6 MRT, здається, працює після кожного перезавантаження. Він не завжди може запускати частину YaraScanService, але, на мій досвід, це є.

— Грег А. Вудс

Такий чудовий спосіб посилити застарілість старих маків ... Мені: "Мій Mac повільний через Яру!" Apple: "Отже, ви хочете мати віруси? Краще оновіть свій Mac"

— w00t

Я в кінцевому підсумку видалив його bc Я ніколи не запускав недовірений код. Яблуко додавання функцій, що впливають на продуктивність, не пропонуючи простий спосіб їх відключення (наприклад, налаштування плістів, керовані новим полем префан-файлу безпеки), здається, трохи не охолоджене.

— dhchdhd

Він дійсно не споживає вашу ОЗП. Він, ймовірно, використовує вбудований введення / вивід пам’яті під час читання цих файлів, але це означає лише, що вміст файлу відображено у віртуальний простір пам’яті, це насправді не означає, що використовується фізична пам’ять. Для фактичного використання потрібно переглянути "Реальний об'єм пам'яті у" Моніторі діяльності ".

— Метт К.
джерело

Насправді він використовує оперативну пам’ять (а також карта, що відображається на пам’яті, введення / виведення також використовує оперативну пам’ять - ось і вся ідея!), В результаті чого вже використана оперативна пам’ять стискається та / або витісняється для заміни, тим самим ще більше посилюючи зручність роботи системи під час вона працює

— Грег А. Вудс

Це не так, як працює вбудований / вхідний файл файлу пам'яті. Він просто відображає файл у адресний простір пам'яті, він фактично не виділяє для нього жодної пам'яті. Адресний простір на 64-бітних платформах становить 2 ^ 64 великих (теоретично залежно від платформи деякі біти можуть мати спеціальне призначення), що значно перевищує ємність фізичної пам'яті.

— Метт К.

Вбудований введення / вивід на карту пам'яті, безумовно, "виділяє" фізичну пам'ять - і, таким чином, він викликає "тиск" в пам'яті, змушуючи ядро стискати та / або розшифровувати, інакше активна пам'ять все ще використовується для інших цілей. Ви не можете вкласти щось у пам'ять, якщо у вас немає десь конкретної фізичної пам'яті, виділеної для його копіювання. Адресний простір віртуальної пам’яті безпосередньо відображається у фізичній пам’яті кожного разу, коли якийсь процес отримує доступ до нього будь-яким способом, навіть якщо ця конкретна область підтримується вторинним сховищем, як у вході / виводі з картографічною пам’яттю.

— Грег А. Вудс

Звичайно, до файлів, що відображаються в пам'яті, можна отримати доступ через фізичну пам'ять, але ці блоки обробляються як кеш, і вони спочатку переходять під тиск пам'яті. Жодна розумна реалізація підкачки операційної системи не стискає або заміняє активні сторінки пам'яті, зберігаючи значну кількість сторінок, що змінюються. У цьому випадку YaraScanService на моєму комп’ютері було складено понад 20 гігабайт, але використано лише близько 300 Мб фізичної пам'яті. В основному стверджуючи, що введення / виведення файлу на карту пам'яті викликає тиск у пам'яті, це те саме, що твердження про кеш диска викликає заміну та тиск у пам'яті.

— Метт К.

Для пам’яті, відображеного вводу / виводу пам’яті, потрібно набагато більше фізичної пам’яті, ніж еквівалентний кеш-пам'ять, особливо з деякими шаблонами доступу. Якщо ви подивитесь на кількість тиску пам'яті (на графіку на вкладці Монітор активності «Пам'ять»), а також зростання стисненої пам’яті та / або використання обміну, поки YaraScanService працює на будь-якій машині з великою і повною файловою системою та безліччю інших великі процеси, що працюють, ви побачите, що це спричиняє сильну кількість порушень настільки, що іноді спричиняє молотіння. Навіть коли Chrome просочується пам’яттю і стає величезним, це майже не така свиня, як YSS.

— Грег А. Вудс