Właśnie zaktualizowałem system do wersji macOS Mojave 10.14 Beta i zauważyłem nowy proces o nazwie YaraScanService
. Proces zużywa zbyt dużo pamięci RAM (około 10 GB). Zabiłem proces za pomocą Monitora aktywności, ale wrócił godzinę później.
- Czym jest ten proces i co dokładnie robi?
- Czy istnieje sposób, aby go wyłączyć i / lub powstrzymać przed zapychaniem pamięci?
Odpowiedzi:
MRT / YaraScan to narzędzie antywirusowe chronione prawami autorskimi MacOS. Przyczyną tego nieprzyzwoitego użycia pamięci jest w zasadzie to, dlaczego OSX nie ma formalnego „antywirusa”.
Mówiąc prościej, YaraScan jest tutaj częścią „pakietu zmienności”; https://www.volatilityfoundation.org/about
Zdaj sobie sprawę, że zarówno wirus, jak i nielegalnie piracki materiał są wykrywane tylko przez „podpisowy” zestaw ścieżek kodu i oba często polegają na błędach, exploitach i słabych łatkach, więc należy się spodziewać, że najsilniejszy współczesny program antywirusowy wyrósł z praw autorskich narzędzie do wykrywania naruszeń.
YaraScan uruchamia się raz po aktualizacji Mojave, a następnie usuwa się. Widać również, że utrzymuje się na niektórych systemach MacOS w MRT. Powodem, dla którego wykorzystuje tak dużo pamięci, jest to, że jeśli nie zostanie to inaczej zaprogramowane (jak w przypadku rezygnacji), proces, który musi przeskanować dużą liczbę plików w poszukiwaniu pliku o nieznanej wielkości, który może być zaszyfrowany w wymienionych wyszukiwanych plikach, użyje dużego ilość nieaktywnej pamięci, aby zapisać wszystkie odszyfrowane zeskanowane pliki przez ograniczony czas, ponieważ są one ponownie potrzebne. Czemu? Ponieważ pusta pamięć RAM jest zmarnowaną pamięcią RAM, mam na myśli, że nadal musisz dać jej waty, więc po co usuwać z niej rzeczy, gdy coś innego nie chce tam być? Odzyskanie go zajmuje 100 razy dłużej.
Co ważniejsze, jeśli korzystasz z Filevault lub APFS, WSZYSTKIE te dane są szyfrowane i muszą zostać odszyfrowane, aby można je było odczytać. Wiele aplikacji faktycznie wymaga uruchomienia, a następnie skanowania po załadowaniu, ponieważ wiele plików może się łączyć, tworząc zagrożenie w przestrzeni pamięci jako pojedynczy „plik współbieżny”. Wirusy mogą być częściowo przechowywane w dylib dla całkowicie niepowiązanej aplikacji.
Ilość czasu jest aktywnie ustalana przez Grand Central Dispatch na twoim Macu i jak tylko spróbujesz użyć programu, który potrzebuje tej logicznej pamięci RAM, spróbuje go wyczyścić. Należy pamiętać, że pamięć wirtualna w tym przypadku powinna być duża, ponieważ wszystkie odszyfrowane elementy są tam lepiej przechowywane, dopóki dosłownie zabraknie miejsca niż skasowane przy drugim przejściu wkrótce po wielokrotnym utworzeniu.
Jest to nowe zachowanie w dobie dysków SSD, aby zmaksymalizować żywotność dysku ponad czas reakcji. Obecne zachowanie GCD sugeruje, że spowolnienia wynikają z szybkiego procesora, który tworzy odszyfrowane dane szybciej niż można je zapisać na dysk, a inne żądania do RAM muszą czekać na zakończenie SSD / HDD.
źródło
YaraScan runs once after Mojave update, and then deletes itself.
Działa dla mnie po panice jądra, więc zakładam, że system ładuje go z dysku odzyskiwania w razie potrzeby. Po prostu dla ciebie./System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc
. To jest na MacOS 10.13.6.Działa również na 10.13.6 (17G65).
Wygląda prawdopodobnie na https://github.com/virustotal/yara
/apple/296339/mrt-process-using-large-unbounded-amount-of-memory
źródło
Tak naprawdę nie zużywa pamięci RAM. Prawdopodobnie korzysta z mapowanych we / wy pamięci podczas odczytu tych plików, ale oznacza to tylko, że zawartość pliku jest mapowana na przestrzeń pamięci wirtualnej, to wcale nie oznacza, że używana jest pamięć fizyczna. W celu rzeczywistego użycia należy spojrzeć na „Rzeczywisty rozmiar pamięci w monitorze aktywności.
źródło