MacOS Mojave Beta (10.14) ve macOS High Sierra (10.13.6) 'da ortaya çıkan “YaraScanService” nedir?

MacOS Mojave 10.14 Beta sürümüne yeni geçtim ve adında yeni bir işlem olduğunu fark ettim YaraScanService. İşlem çok fazla RAM (yaklaşık 10 GB) tüketiyor. Aktivite Monitor'ü kullanarak süreci öldürdüm ama bir saat sonra geri geldi.

Bu süreç nedir ve tam olarak ne yapar?
Kapatmanın ve / veya belleği takmayı durdurmanın bir yolu var mı?

macos memory cpu

— Farabi Abdelwahed
kaynak

Apple Kötü Amaçlı Yazılımları Temizleme Aracı'ndan (/System/Library/CoreServices/MRT.app/). Bkz . 10.14 Beta 2 - YaraScanService ne yapar? . Bkz. Yarascan'ı osx'tan nasıl kaldırırım? ve MRT uygulaması nedir? . Mojave güncellemesinin bir sonucudur ve zamanla taramayı durdurmalıdır. Apple'ın güvenlik özelliklerine hiç güveniyorsanız, MRT.app'yi kaldırmayın.

— user187561

Ayrıca bkz. XProtect ve MRT Mac'inizi neden koruyor? .

— user187561,

Ram kullanımını sınırlamak için uzakta var mı? ya da Beta sürümünü kullanma masrafı mı

— Farabi Abdelwahed

Yanıtlar:

MRT / YaraScan, MacOS tarafından geliştirilen bir virüsten koruma yazılımı telif hakkı aracıdır. Müstehcen bellek kullanımının nedeni, temel olarak OSX'in resmi bir 'antivirüs' bulunmamasıdır.

Daha basit bir ifadeyle YaraScan, buradaki “değişkenlik paketinin” bir parçası; https://www.volatilityfoundation.org/about

Bir virüsün ve yasa dışı korsan malzemenin hem sadece bir '' imza '' kod yolu kümesi tarafından tespit edildiğini ve hem de genellikle hatalara, istismarlara ve zayıf yamalara bağlı kaldığının farkına varın, bu nedenle sadece en güçlü modern antivirüsün bir telif hakkından yetiştirilmesi beklenir. ihlal tespit aracı.

YaraScan Mojave güncellemesinden sonra bir kez koşar ve sonra kendini siler. Ayrıca MRT içindeki belirli MacOS sistemlerinde de devam ettiği görülmüştür. Çok fazla bellek kullanmasının nedeni, başka türlü programlanmadıkça (tercihin dışında olduğu gibi), söz konusu aranan dosyalara şifrelenebilecek bilinmeyen boyutlu bir dosya için büyük miktarda dosya taraması gereken bir işlemin büyük Şifrelenmiş tüm taranan dosyaları sınırlı bir süre boyunca tekrar saklamak için saklamak için etkin olmayan hafıza Niye ya? Boş RAM boşa harcanan RAM olduğundan, hala watt vermek zorunda kaldığınız için başka bir şey orada olmak istemediğinde neden bu şeyleri silmelisiniz? Geri almak 100x daha uzun sürüyor.

Daha önemlisi, eğer Filevault veya APFS ise, bu verilerin TÜMÜ şifrelenir ve okunması için şifresi çözülür. Birçok uygulamanın başlatılması ve daha sonra yüklendiğinde taranması gerekir, çünkü birçok dosya bir araya geldiğinde bellek alanında tek bir 'eşzamanlı dosya' olarak tehdit oluşturabilir. Virüsler tamamen ilgisiz bir uygulama için dylib içerisinde kısmen depolanabilir.

Mac'inizdeki Grand Central Dispatch tarafından aktif olarak karar verilir ve bu mantıksal RAM'e ihtiyaç duyan bir programı kullanmaya çalıştığınız anda onu temizlemeye çalışır. Bu durumda Sanal Bellek'nin büyük olması gerektiğine dikkat edin, çünkü şifresi çözülmüş öğelerin tümü, art arda oluşturulduktan kısa bir süre sonra ikincil bir geçişte silinmiş olandan silinene kadar orada daha iyi saklanır.

Bu, SSD'lerin çağındaki duyarlılığı aşarak sürüş ömrünü en üst düzeye çıkarmak için yeni davranış. Mevcut GCD davranışı, yavaşlamaların, şifreye yazılandan daha hızlı bir şifre çözme verisi yaratan hızlı bir CPU'dan geldiğini ve SSD / HDD'nin bitmesini beklemek zorunda kalan RAM'a yapılan diğer istekleri ortaya koyuyor.

— user1901982
kaynak

Demek ki Apple onların bilgisini bilmeden insanların depolarına bakıyor? Bu nasıl bir Sony DRM-a-la ön sayfa haberi değil?

— dhchdhd

YaraScan runs once after Mojave update, and then deletes itself. Bir çekirdek paniğinden sonra benim için çalışıyor, bu yüzden sistemin gerektiği gibi kurtarma sürücüsünden yüklediğini varsayıyorum. Sadece FYI.

— Shelton

Bunun bir seferlik bir anlaşma olduğunu bilmek güzel. Bir dizi sorun yaşadıktan sonra işletim sistemimi yeni açtım ve daha sonra yabancı bir virüsle ilgili programın rahatsız edici olduğunu gördüm.

— Dan Loughney,

Makinemde çalıştıktan sonra kesinlikle kendini sildim. Zirvede aktivite monitörü 80.50 GB RAM kullanıyordu (kutumda 32 GB fiziksel koç var). İşlem kaybolana kadar çalışmasına izin verdim. Yürütülebilir dosya hala var /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. Bu macOS 10.13.6'da.

— pjv

YaraScan şimdi XProtect / MRT / Gatekeeper’in bir parçası. MRT kelimenin tam anlamıyla Malware Temizleme Aracı olmak. 10.13'ten önce yükleyicide olduğuna inanıyorum, ancak aynı sistemdeyim ve mevcut değil. Bunu yansıtmak için bu cevabı güncelleyeceğim. Büyük RAM kullanımına gelince, lütfen bunun sanal bellek olduğunu, AKA'nın X boyutundaki bir dosyada olduğunu unutmayın (bu dosyanın bonusu her zaman kapanıyor). MRT'nin şifresi çözülmüş byte'ları depolamak için fazla RAM kullanmaması nedeniyle, RAM'den çok daha büyük olacaktır, boş alanınız bitene kadar diske boşaltmanız yeterlidir.

— user1901982

Ayrıca 10.13.6'da (17G65) çalışıyor.

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Muhtemel görünüyor https://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

— dhchdhd
kaynak

Aslında. Yapabileceklerimden YaraScanService MRT'nin sadece bir parçası ve en azından 10.13.6'da MRT her yeniden başlatmanın ardından çalışıyor gibi görünüyor. YaraScanService bölümünü her zaman kendi parçası çalıştırmayabilir, ama benim tecrübeme göre yapıyor.

— Greg A. Woods,

Yaşlı mac'ların eskimesini arttırmanın bu kadar harika bir yolu… Ben: “Mac'im Yara nedeniyle yavaş!” Elma: "Yani virüs sahibi olmak ister misiniz?

— Mac'inizi

Ben kaldırarak bc sona erdi Ben güvenilmez kodu çalıştırmak asla. Apple, bunları devre dışı bırakmak için kolay bir yol sağlamadan performans etkileyici özellikler ekleyerek (örneğin, yeni bir Güvenlik ön paneli alanı tarafından yönetilen plist ayarı) biraz soğuk görünüyor.

— dhchdhd

RAM'inizi gerçekten tüketmez. Muhtemelen bu dosyaları okurken hafıza haritalanmış I / O kullanır, ancak bu sadece dosya içeriğinin sanal hafıza alanına eşlendiği anlamına gelir, aslında fiziksel hafızanın kullanıldığı anlamına gelmez. Gerçek kullanım için, Aktivite İzleyicideki "Gerçek hafıza boyutu" bölümüne bakmalısınız.

— Matt K.
kaynak

Aslında RAM kullanıyor (ve ayrıca G / Ç bellek eşlemeli I / O da RAM kullanıyor - bütün fikir bu!), Kullanılmış RAM'in sıkıştırılmasını ve / veya değiş tokuş edilmesine neden oluyor, böylece sistemin kullanılabilirliğini daha da şiddetlendiriyor. çalışır

— Greg A. Woods

Bellek eşlemeli dosya G / Ç’nin çalışması böyle değildir. Sadece dosyayı hafıza adres alanına eşleştirir, aslında bunun için herhangi bir hafıza ayırmaz. 64bit platformlardaki adres alanı 2 ^ 64 büyüktür (teoride, platforma bağlı olarak bazı bitlerin özel bir amacı olabilir), bu fiziksel belleğin kapasitesinin çok ötesindedir.

— Matt K.

Bellek eşlemeli G / Ç, kesinlikle “fiziksel bellek” ayırır - ve bu nedenle çekirdeği sıkıştırmaya zorlar ve / veya sayfa çıkarmaya zorlar, aksi halde hala başka amaçlar için kullanılan aktif belleği. Gerçek fiziksel bellekte belirli bir yere kopyalamak için ayrılmış bir şey yoksa, belleğe bir şey koyamazsınız. Sanal bellek adres alanı, bir işlem herhangi bir şekilde eriştiğinde, bu alan bellek eşlemeli G / Ç'deki gibi ikincil depolama ile desteklense bile doğrudan fiziksel belleğe eşlenir.

— Greg A. Woods

Tabii ki hafıza haritalanmış dosyalara fiziksel hafıza yoluyla erişilir, ancak bu bloklar önbellek olarak değerlendirilir ve önce hafıza baskısı altında kalırlar. Hiçbir akıllıca işletim sistemi çağrı uygulaması, önemli miktarda mmaped sayfa tutarken, aktif bellek sayfalarını sıkıştırmaz veya değiştirmez. Bu durumda bilgisayarımdaki YaraScanService 20 gigabayttan daha fazla eşlenmiş, ancak sadece 300 MB civarında fiziksel bellek kullanmıştı. Temel olarak, bellek haritalanmış dosya I / O'sunun bellek basıncına neden olduğunu iddia etmek, disk önbelleğinin değiştirilmesine ve bellek basıncına neden olduğunu iddia etmekle aynıdır.

— Matt K.

Haritalanmış G / Ç bellek, özellikle bazı erişim kalıplarında eşdeğer arabellek önbelleğinden çok daha fazla fiziksel bellek gerektirir. Eğer hafıza basıncı miktarına bakarsanız ("Aktivite İzleyicisi" Hafıza "sekmesindeki grafikte) ve sıkıştırılmış hafızanın ve / veya takas kullanımının artması durumunda YaraScanService büyük ve dolu bir dosya sistemine ve diğer birçok makineye sahipken Çalışan büyük süreçler , bazen dökülmeye neden olduğu ölçüde ciddi miktarda bozulmaya neden olduğunu göreceksiniz . Chrome hafızayı sızdırıyor ve büyüdükçe bile, neredeyse YSS gibi bir domuz değil.

— Greg A. Woods