Cúc YaraScanService là gì xuất hiện trong macOS Mojave Beta (10.14) và macOS High Sierra (10.13.6)?

27

Tôi vừa cập nhật lên macOS Mojave phiên bản 10.14 Beta và tôi đã nhận thấy một quy trình mới được gọi là YaraScanService. Quá trình này tiêu tốn quá nhiều RAM (khoảng 10GB). Tôi đã giết quá trình bằng Activity Monitor nhưng nó đã quay lại một giờ sau đó.

  • Quá trình này là gì và chính xác nó làm gì?
  • Có cách nào để tắt nó đi và / hoặc ngăn chặn nó khỏi bộ nhớ?
macos  memory  cpu 
Farabi Abdelwahed
nguồn
1
Đó là từ Công cụ loại bỏ phần mềm độc hại của Apple (/ System / L Library / CoreService / MDT.app /). Xem trong 10.14 Beta 2 - YaraScanService làm gì? . Xem Làm thế nào để tôi loại bỏ Yarascan khỏi osx? ứng dụng tàu điện ngầm là gì? . Đó là kết quả của bản cập nhật Mojave và cuối cùng sẽ dừng quét. Đừng gỡ bỏ MRT.app nếu bạn hoàn toàn dựa vào các tính năng bảo mật của Apple.
dùng187561
dùng187561
Có cách nào để hạn chế việc sử dụng ram của nó? hoặc đó là chi phí của việc sử dụng phiên bản Beta
Farabi Abdelwahed

Câu trả lời:

17

MRT / YaraScan là một công cụ bản quyền chống vi-rút được MacOS cung cấp. Lý do cho việc sử dụng bộ nhớ tục tĩu về cơ bản là lý do tại sao OSX không có 'phần mềm chống vi-rút' chính thức.

Đơn giản hơn, YaraScan là một phần của 'bộ biến động' ở đây; https://www.volatilityfoundation.org/about

Bạn có nhận ra rằng cả virus và tài liệu vi phạm bản quyền bất hợp pháp chỉ được phát hiện bởi một bộ đường dẫn mã 'chữ ký' và cả hai thường phụ thuộc vào lỗi, khai thác và vá lỗi, do đó, chỉ có thể dự đoán rằng phần mềm diệt virus hiện đại mạnh nhất được phát triển từ bản quyền công cụ phát hiện vi phạm.

YaraScan chạy một lần sau khi cập nhật Mojave, rồi tự xóa. Nó cũng đã được nhìn thấy tồn tại trên một số hệ thống MacOS nhất định trong tàu điện ngầm. Lý do nó sử dụng rất nhiều bộ nhớ là vì trừ khi được lập trình theo cách khác (như là từ chối), một quá trình phải quét một lượng lớn tệp cho một tệp có kích thước không xác định có thể được mã hóa thành các tệp được tìm kiếm sẽ sử dụng một lượng lớn lượng bộ nhớ không hoạt động để lưu tất cả các tệp được quét đã giải mã trong một khoảng thời gian giới hạn mà chúng cần lại. Tại sao? Bởi vì RAM trống bị lãng phí RAM, ý tôi là bạn vẫn phải cung cấp cho nó watts, vậy tại sao lại xóa nội dung trên nó khi có thứ gì đó không muốn ở đó? Phải mất 100 lần nữa để lấy lại.

Quan trọng hơn, nếu bạn Filevault hoặc APFS, TẤT CẢ dữ liệu đó được mã hóa và phải được giải mã để được đọc. Nhiều ứng dụng thực sự cần khởi chạy và sau đó quét khi chúng được tải vì nhiều tệp có thể kết hợp với nhau để tạo thành mối đe dọa trong không gian bộ nhớ dưới dạng một 'tệp đồng thời'. Virus có thể được lưu trữ một phần trong dylib cho một ứng dụng hoàn toàn không liên quan.

Lượng thời gian được quyết định tích cực bởi Grand Central Dispatch trong máy mac của bạn và ngay khi bạn cố gắng sử dụng một chương trình cần RAM hợp lý, nó sẽ cố gắng xóa nó. Lưu ý rằng Bộ nhớ ảo trong trường hợp này phải lớn, vì tất cả những thứ được giải mã sẽ được lưu trữ tốt hơn ở đó cho đến khi bạn hết dung lượng so với xóa trên thẻ phụ ngay sau khi tạo liên tục.

Đây là hành vi mới trong thời đại của SSD để tối đa hóa tuổi thọ ổ đĩa hơn khả năng đáp ứng. Hành vi GCD hiện tại cho thấy sự chậm chạp là do CPU nhanh tạo ra dữ liệu được giải mã nhanh hơn tốc độ có thể được ghi vào đĩa và các yêu cầu khác vào RAM phải chờ SSD / HDD kết thúc.

người dùng1901982
nguồn
10
Vì vậy, Apple đang rình mò lưu trữ của mọi người mà không có kiến ​​thức của họ? Làm thế nào đây không phải là tin tức trang nhất a-la Sony DRM-gate?
dhchdhd
4
YaraScan runs once after Mojave update, and then deletes itself. Nó chạy cho tôi sau khi nhân hoảng loạn, vì vậy tôi giả sử hệ thống tải nó từ ổ đĩa khôi phục khi cần. Chỉ cần FYI.
Shelton
1
Thật tốt khi biết đây là một thỏa thuận một lần. Tôi vừa làm mới hệ điều hành của mình sau khi có một loạt vấn đề và sau đó thấy một chương trình liên quan đến virus không quen thuộc đang gặp rắc rối.
Dan Loughney
7
Nó chắc chắn không tự xóa sau khi chạy trên máy của tôi. Lúc cao điểm, trình giám sát hoạt động cho thấy nó sử dụng 80,50 GB RAM (hộp của tôi có ram vật lý 32 GB). Tôi để nó chạy cho đến khi quá trình biến mất. Việc thực thi vẫn tồn tại tại /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. Đây là trên macOS 10.13.6.
pjv
1
YaraScan hiện là một phần của XProtect / MRT / Gatekeeper. Tàu điện ngầm là công cụ loại bỏ phần mềm độc hại. Trước 10.13 Tôi tin rằng nó nằm trong trình cài đặt, nhưng tôi ở trên cùng một hệ thống và không có nó. Tôi sẽ cập nhật câu trả lời này để phản ánh điều này. Đối với việc sử dụng RAM lớn, xin lưu ý đây là bộ nhớ ảo, AKA một tệp trên đĩa có kích thước X (với phần thưởng của tệp đó luôn xóa khi đóng). Nó sẽ lớn hơn RAM rất nhiều do thực tế là MRT sẽ không sử dụng nhiều RAM để lưu trữ các byte được giải mã, chỉ cần đổ nó vào đĩa cho đến khi bạn hết dung lượng sau đó lo lắng về việc xóa.
dùng1901982
7

Nó cũng chạy trên 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Có vẻ như https://github.com/virustotal/yara

/apple/296339/mrt- Process-USEl-

dhchdhd
nguồn
3
Thật. Từ những gì tôi có thể nói với YaraScanService chỉ là một phần của tàu điện ngầm và ít nhất trong 10.13.6, tàu điện ngầm dường như chạy sau mỗi lần khởi động lại. Nó có thể không phải lúc nào cũng chạy phần YaraScanService của chính nó, nhưng theo kinh nghiệm của tôi thì có.
Greg A. Woods
4
Thật là một cách tuyệt vời để tăng sự lỗi thời của các máy Mac cũ hơn tôi: "Mac của tôi chậm vì Yara!" Apple: "Vì vậy, bạn muốn có virus? Tốt hơn hãy nâng cấp máy Mac của bạn"
w00t
2
Tôi đã kết thúc việc gỡ bỏ nó bc Tôi không bao giờ chạy mã không tin cậy. Apple bổ sung các tính năng ảnh hưởng đến hiệu suất mà không cung cấp một cách dễ dàng để vô hiệu hóa chúng (ví dụ: cài đặt plist được quản lý bởi trường prefpane bảo mật mới) có vẻ hơi không hay.
dhchdhd
2

Nó không thực sự tiêu thụ RAM của bạn. Nó có thể sử dụng I / O được ánh xạ bộ nhớ khi đọc các tệp đó, nhưng điều đó chỉ có nghĩa là nội dung tệp được ánh xạ vào không gian bộ nhớ ảo, thực tế không có nghĩa là bộ nhớ vật lý được sử dụng. Để sử dụng thực tế, bạn cần xem "Kích thước bộ nhớ thực trong Trình giám sát hoạt động.

Matt K
nguồn
1
Trên thực tế, nó sử dụng RAM (và cả I / O được ánh xạ bộ nhớ cũng sử dụng RAM - đó là toàn bộ ý tưởng!), Khiến RAM đã sử dụng bị nén và / hoặc bị đẩy ra để trao đổi, do đó càng làm tăng khả năng sử dụng của hệ thống trong khi nó chạy
Greg A. Woods
Đó không phải là cách I / O tập tin ánh xạ bộ nhớ hoạt động. Nó chỉ ánh xạ tệp vào không gian địa chỉ bộ nhớ, nó không thực sự phân bổ bất kỳ bộ nhớ cho nó. Không gian địa chỉ trên các nền tảng 64 bit là 2 ^ 64 lớn (về lý thuyết, tùy thuộc vào nền tảng, một số bit có thể có mục đích đặc biệt), vượt quá khả năng của bộ nhớ vật lý.
Matt K.
1
I / O được ánh xạ bộ nhớ chắc chắn sẽ "cấp phát" bộ nhớ vật lý - và do đó, nó gây ra "áp lực" cho bộ nhớ, buộc hạt nhân phải nén và / hoặc thoát ra khỏi trang nếu không bộ nhớ hoạt động vẫn được sử dụng cho các mục đích khác. Bạn không thể đặt một cái gì đó vào bộ nhớ nếu bạn không có một nơi cụ thể nào đó trong bộ nhớ vật lý thực được phân bổ để sao chép nó vào. Không gian địa chỉ bộ nhớ ảo được ánh xạ trực tiếp vào bộ nhớ vật lý bất cứ khi nào một quá trình truy cập nó theo bất kỳ cách nào, ngay cả khi khu vực cụ thể đó được hỗ trợ bởi bộ lưu trữ thứ cấp như trong I / O được ánh xạ bộ nhớ.
Greg A. Woods
Tất nhiên các tệp ánh xạ bộ nhớ được truy cập thông qua bộ nhớ vật lý, nhưng các khối đó được xử lý như bộ đệm và trước tiên chúng phải chịu áp lực bộ nhớ. Không có triển khai phân trang hệ điều hành lành mạnh nào có thể nén hoặc hoán đổi các trang bộ nhớ hoạt động trong khi vẫn giữ số lượng đáng kể các trang được ghép. Trong trường hợp này, YaraScanService trên máy tính của tôi có hơn 20 gigabyte được ánh xạ nhưng chỉ sử dụng khoảng 300 MB bộ nhớ vật lý. Về cơ bản tuyên bố rằng tập tin I / O được ánh xạ bộ nhớ gây ra áp lực bộ nhớ giống như việc yêu cầu bộ đệm đĩa gây ra sự tráo đổi và áp lực bộ nhớ.
Matt K.
1
Bộ nhớ I / O được ánh xạ bộ nhớ đòi hỏi nhiều bộ nhớ vật lý hơn bộ đệm bộ đệm tương đương, đặc biệt là với một số mẫu truy cập. Nếu bạn nhìn vào mức áp suất bộ nhớ (trong biểu đồ trong tab "Bộ nhớ" của Trình giám sát hoạt động) và sự tăng trưởng của bộ nhớ nén và / hoặc sử dụng trao đổi trong khi YaraScanService chạy trên bất kỳ máy nào có hệ thống tệp lớn và đầy đủ và nhiều thứ khác các quá trình lớn đang chạy bạn sẽ thấy rằng nó gây ra sự gián đoạn nghiêm trọng đến mức đôi khi nó gây ra sự cố. Ngay cả khi Chrome rò rỉ bộ nhớ và phát triển rất lớn, nó cũng không giống một con lợn như YSS.
Greg A. Woods
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.