Apa itu "YaraScanService" yang muncul di macOS Mojave Beta (10.14) dan macOS High Sierra (10.13.6)?
Saya baru saja memperbarui ke macOS Mojave versi 10.14 Beta dan saya telah memperhatikan proses baru yang disebut YaraScanService. Proses ini mengkonsumsi terlalu banyak RAM (sekitar 10GB ). Saya mematikan proses menggunakan Activity Monitor tetapi kembali lagi satu jam kemudian.
- Proses apa ini dan apa yang sebenarnya dilakukannya?
- Apakah ada cara untuk mematikannya dan/atau menghentikannya dari memonopoli memori?
MRT/YaraScan adalah alat antivirus-hak cipta yang diproduk MacOS. Alasan penggunaan memori yang tidak wajar pada dasarnya adalah alasan mengapa OSX tidak memiliki antivirus resmi.
Lebih sederhananya, YaraScan adalah salah satu bagian dari 'volatility suite' di sini; https://www.volatilityfoundation.org/about
Sadarilah bahwa virus dan materi bajakan ilegal keduanya hanya terdeteksi oleh 'signature' set jalur kode dan keduanya sering bergantung pada bug, eksploitasi, dan penambalan yang lemah, jadi'hanya diharapkan bahwa antivirus modern terkuat tumbuh dari alat pendeteksi pelanggaran hak cipta.
YaraScan berjalan sekali setelah pembaruan Mojave, dan kemudian menghapus dirinya sendiri. Ia juga telah terlihat bertahan pada sistem MacOS tertentu dalam MRT. Alasan mengapa YaraScan menggunakan begitu banyak memori adalah karena kecuali jika diprogram sebaliknya (seperti dalam hal ini, proses yang harus memindai sejumlah besar file untuk file berukuran tidak diketahui yang mungkin dienkripsi ke dalam file yang dicari tersebut akan menggunakan sejumlah besar memori tidak aktif untuk menyimpan semua file yang dipindai yang didekripsi untuk waktu yang terbatas jika mereka diperlukan lagi. Mengapa? Karena RAM yang kosong adalah RAM yang terbuang, maksud saya Anda masih harus memberikannya watt jadi mengapa menghapus barang-barang di dalamnya ketika sesuatu yang lain tidak ingin berada di sana? Dibutuhkan 100x lebih lama untuk mendapatkannya kembali.
Lebih penting lagi, jika Anda Filevault atau APFS, SEMUA data tersebut dienkripsi dan harus didekripsi untuk dapat dibaca. Banyak aplikasi yang sebenarnya perlu diluncurkan dan kemudian dipindai ketika dimuat karena banyak file dapat bersatu untuk membentuk ancaman di ruang memori sebagai satu ' file bersamaan '. Virus dapat disimpan sebagian dalam dylib untuk aplikasi yang sama sekali tidak terkait.
Jumlah waktu secara aktif diputuskan oleh Grand Central Dispatch di mac Anda dan segera setelah Anda mencoba menggunakan program yang membutuhkan RAM logis itu, ia akan mencoba untuk menghapusnya. Perhatikan bahwa Memori Virtual dalam hal ini harus besar, karena semua hal yang didekripsi lebih baik disimpan di sana sampai Anda benar-benar kehabisan ruang daripada dihapus pada pass sekunder tak lama setelah pembuatan berulang kali.
Ini adalah perilaku baru di era SSD untuk memaksimalkan masa pakai drive daripada responsif. Perilaku GCD saat ini menunjukkan bahwa perlambatan berasal dari CPU yang cepat membuat data yang didekripsi lebih cepat daripada yang dapat ditulis ke disk dan permintaan lain ke RAM harus menunggu SSD / HDD selesai.
Ini juga berjalan pada 10.13.6 (17G65).
1054 66.3 2.1 62395936 359328 ?? Us 11:48AM 10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanServiceSepertinya https://github.com/virustotal/yara
https://apple.stackexchange.com/questions/296339/mrt-process-using-large-unbounded-amount-of-memory
Itu tidak benar-benar menghabiskan RAM Anda. Kemungkinan besar menggunakan I/O yang dipetakan memori ketika membaca file-file tersebut, tetapi itu hanya berarti bahwa konten file dipetakan ke ruang memori virtual, itu tidak benar-benar berarti bahwa memori fisik digunakan. Untuk penggunaan sebenarnya, Anda perlu melihat "Ukuran memori nyata di Activity Monitor.
