Che cos'è "YaraScanService" visualizzato in macOS Mojave Beta (10.14) e macOS High Sierra (10.13.6)?

Ho appena aggiornato a macOS Mojave versione 10.14 Beta e ho notato un nuovo processo chiamato YaraScanService. Il processo sta consumando troppa RAM (circa 10 GB). Ho interrotto il processo utilizzando Activity Monitor ma è tornato un'ora dopo.

Cos'è questo processo e cosa fa esattamente?
C'è un modo per spegnerlo e / o impedirlo dalla memoria hogging?

macos memory cpu

— Farabi Abdelwahed
fonte

È dallo strumento di rimozione malware Apple (/System/Library/CoreServices/MRT.app/). Vedi 10.14 Beta 2: cosa fa YaraScanService? . Vedi Come rimuovo Yarascan da osx? e che cos'è l'app MRT? . È il risultato dell'aggiornamento Mojave e alla fine dovrebbe interrompere la scansione. Non rimuovere MRT.app se fai affidamento sulle funzionalità di sicurezza di Apple.

— user187561

Vedi anche Da cosa XProtect e MRT proteggono il tuo Mac? .

— user187561

C'è via per limitarne l'utilizzo? o è la spesa per l'utilizzo di una versione beta

— Farabi Abdelwah

Risposte:

MRT / YaraScan è uno strumento antivirus-copyright prodotto da MacOS. Il motivo dell'osceno utilizzo della memoria è fondamentalmente il motivo per cui OSX non ha un "antivirus" formale.

Più semplicemente, YaraScan fa parte della "suite di volatilità" qui; https://www.volatilityfoundation.org/about

Ti rendi conto che un virus e materiale piratato illegalmente sono entrambi rilevati solo da una serie di percorsi di codice "firma" e spesso fanno affidamento su bug, exploit e patch deboli, quindi è prevedibile che l'antivirus moderno più potente sia stato sviluppato da un copyright strumento di rilevamento delle violazioni.

YaraScan viene eseguito una volta dopo l'aggiornamento di Mojave, quindi si elimina automaticamente. È stato anche visto persistere su alcuni sistemi MacOS all'interno di MRT. Il motivo per cui utilizza così tanta memoria è perché, se non diversamente programmato (come in un opt-out), un processo che deve scansionare una grande quantità di file per un file di dimensioni sconosciute che potrebbe essere crittografato in detti file cercati utilizzerà un grande quantità di memoria inattiva per salvare tutti i file scansionati decrittografati per un periodo di tempo limitato nel caso in cui siano nuovamente necessari. Perché? Poiché la RAM vuota è una RAM sprecata, voglio dire che devi ancora dargli watt, quindi perché eliminare le cose su di esso quando qualcos'altro non vuole essere lì? Ci vuole 100 volte più a lungo per riaverlo.

Ancora più importante, se Filevault o APFS, TUTTI quei dati sono crittografati e devono essere decifrati per essere letti. Molte app in realtà devono essere avviate e quindi sottoposte a scansione quando vengono caricate, poiché molti file possono riunirsi per formare una minaccia nello spazio di memoria come un singolo "file simultaneo". I virus possono essere parzialmente archiviati in un dylib per un'app completamente non correlata.

La quantità di tempo è attivamente decisa da Grand Central Dispatch sul tuo mac e non appena tenti di utilizzare un programma che necessita di quella RAM logica, tenterà di cancellarlo. Si noti che la memoria virtuale in questo caso dovrebbe essere grande, poiché tutte le cose decifrate sono meglio archiviate lì fino a quando non si è letteralmente esaurito lo spazio rispetto all'eliminazione su un passaggio secondario poco dopo la creazione ripetuta.

Questo è un nuovo comportamento nell'era degli SSD per massimizzare la durata del drive rispetto alla reattività. L'attuale comportamento GCD suggerisce che i rallentamenti provengono da una CPU veloce che crea dati decrittografati più velocemente di quanto possano essere scritti su disco e altre richieste su RAM che devono attendere il completamento di SSD / HDD.

— user1901982
fonte

Quindi Apple sta curiosando sulla memoria delle persone a loro insaputa? In che modo queste notizie non sono in prima pagina alla Sony DRM-gate?

— dhchdhd,

YaraScan runs once after Mojave update, and then deletes itself. Funziona per me dopo un panico nel kernel, quindi presumo che il sistema lo carichi dall'unità di ripristino, se necessario. Cordiali saluti.

— Shelton,

Buono a sapersi, questo è un affare run-once. Ho appena aggiornato il mio sistema operativo dopo aver avuto una serie di problemi e quindi vedere un programma sconosciuto relativo ai virus era preoccupante.

— Dan Loughney,

Sicuramente non si è cancellato dopo l'esecuzione sul mio computer. Al picco, il monitor dell'attività lo mostrava usando 80.50 GB di RAM (la mia scatola ha 32 GB di RAM fisica). L'ho lasciato funzionare fino a quando il processo è scomparso. L'eseguibile esiste ancora a /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. Questo è su macOS 10.13.6.

— pjv,

YaraScan ora fa parte di XProtect / MRT / Gatekeeper. MRT è letteralmente strumento di rimozione malware. Prima della 10.13 credo che sia nell'installer, ma sono sullo stesso sistema e non ce l'ho presente. Aggiornerò questa risposta per riflettere questo. Per quanto riguarda l'utilizzo della RAM di grandi dimensioni, tieni presente che si tratta di memoria virtuale, un file AKA sul disco di dimensioni X (con il bonus di quel file che viene sempre eliminato alla chiusura). Sarà molto più grande della RAM a causa del fatto che MRT non utilizzerà molta RAM per archiviare i byte decrittografati, basta scaricarlo sul disco fino a quando si esaurisce lo spazio, quindi preoccuparsi di eliminarlo.

— user1901982,

Funziona anche con 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Sembra probabile https://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

— dhchdhd
fonte

Infatti. Da quello che posso dire YaraScanService è solo una parte di MRT, e almeno in 10.13.6 MRT sembra funzionare dopo ogni riavvio. Potrebbe non eseguire sempre la parte YaraScanService di se stessa, ma nella mia esperienza lo fa.

— Greg A. Woods,

Un modo fantastico per aumentare l'obsolescenza dei vecchi Mac ... Io: "Il mio Mac è lento a causa di Yara!" Apple: "Quindi vuoi avere virus? Meglio aggiornare il tuo mac"

— w00t

Ho finito per rimuoverlo perché non eseguo mai codice non attendibile. Apple che aggiunge funzionalità che incidono sulle prestazioni senza fornire un modo semplice per disabilitarle (ad es. Impostazione di plist gestita da un nuovo campo prefpane di sicurezza) sembra un po 'poco interessante.

— dhchdhd,

Non consuma davvero la tua RAM. Probabilmente usa l'I / O mappato in memoria durante la lettura di quei file, ma ciò significa solo che il contenuto del file è mappato nello spazio di memoria virtuale, non significa in realtà che venga utilizzata la memoria fisica. Per l'utilizzo effettivo è necessario guardare "Dimensione della memoria reale in Activity Monitor.

— Matt K.
fonte

In realtà usa la RAM (e anche gli I / O mappati in memoria usano anche la RAM - questa è l'idea!), Facendo sì che la RAM già utilizzata venga compressa e / o espulsa per scambiare, aggravando ulteriormente l'usabilità del sistema mentre funziona

— Greg A. Woods

Non è così che funziona l'I / O dei file mappati in memoria. Associa semplicemente il file allo spazio degli indirizzi di memoria, in realtà non alloca memoria per esso. Lo spazio degli indirizzi su piattaforme a 64 bit è grande 2 ^ 64 (in teoria, a seconda della piattaforma alcuni bit potrebbero avere uno scopo speciale), che è molto al di là della capacità della memoria fisica.

— Matt K.

L'I / O con mappatura della memoria sicuramente "alloca" la memoria fisica - e quindi provoca una "pressione" di memoria, costringendo il kernel a comprimere e / o eliminare la pagina, altrimenti la memoria attiva verrà comunque utilizzata per altri scopi. Non puoi mettere qualcosa in memoria se non hai un posto specifico nella memoria fisica reale allocato per copiarlo. Lo spazio degli indirizzi di memoria virtuale viene mappato direttamente sulla memoria fisica ogni volta che un processo vi accede in alcun modo, anche se quella particolare area è supportata da memoria secondaria come nell'I / O mappato in memoria.

— Greg A. Woods,

Naturalmente i file mappati in memoria sono accessibili attraverso la memoria fisica, ma quei blocchi sono trattati come una cache e sono i primi ad andare sotto pressione della memoria. Nessuna implementazione di paging del sistema operativo sano comprimerebbe o cambierebbe le pagine di memoria attiva mantenendo una quantità significativa di pagine mmaped. In questo caso, YaraScanService sul mio computer aveva mappato oltre 20 gigabyte ma utilizzava solo circa 300 MB di memoria fisica. Sostanzialmente affermare che l'I / O del file mappato in memoria causa la pressione della memoria è lo stesso che rivendicare la cache del disco provoca lo scambio e la pressione della memoria.

— Matt K.

L'I / O mappato in memoria richiede molta più memoria fisica rispetto alla cache buffer equivalente, specialmente con alcuni schemi di accesso. Se osservi la quantità di pressione della memoria (nel grafico nella scheda "Memoria" di Activity Monitor) e la crescita della memoria compressa e / o dell'uso dello swap mentre YaraScanService viene eseguito su qualsiasi macchina con un filesystem ampio e completo e molti altri grandi processi in esecuzione vedranno che provoca una grave quantità di interruzione nella misura in cui a volte provoca un thrashing. Anche quando Chrome perde memoria e diventa enorme, non è quasi un maiale come YSS.

— Greg A. Woods,