Saya baru saja memperbarui ke macOS Mojave versi 10.14 Beta dan saya perhatikan ada proses baru yang disebut YaraScanService
. Proses ini memakan terlalu banyak RAM (sekitar 10GB). Saya membunuh proses menggunakan Activity Monitor tetapi kembali satu jam kemudian.
- Apa proses ini dan apa yang sebenarnya dilakukannya?
- Apakah ada cara untuk mematikannya dan / atau menghentikannya dari memonopoli memori?
Jawaban:
MRT / YaraScan adalah alat antivirus-hak cipta yang disediakan MacOS. Alasan penggunaan memori yang cabul pada dasarnya adalah mengapa OSX tidak memiliki 'antivirus' formal.
Lebih sederhana lagi, YaraScan adalah salah satu bagian dari 'volatility suite' di sini; https://www.volatilityfoundation.org/about
Sadarilah bahwa virus dan material yang dibajak secara ilegal keduanya hanya terdeteksi oleh serangkaian jalur kode 'tanda tangan' dan keduanya sering bergantung pada bug, eksploitasi, dan penambalan yang lemah, sehingga hanya diharapkan bahwa antivirus modern terkuat tumbuh dari hak cipta alat deteksi pelanggaran.
YaraScan berjalan sekali setelah pembaruan Mojave, dan kemudian menghapus dirinya sendiri. Itu juga terlihat bertahan pada sistem MacOS tertentu dalam MRT. Alasan penggunaan begitu banyak memori adalah karena kecuali jika tidak diprogram (seperti di dalamnya adalah opt-out), suatu proses yang harus memindai sejumlah besar file untuk file berukuran tidak diketahui yang mungkin dienkripsi ke dalam kata file yang dicari akan menggunakan besar jumlah memori tidak aktif untuk menyimpan semua file yang dipindai yang didekripsi untuk waktu yang terbatas jika diperlukan lagi. Mengapa? Karena RAM kosong adalah RAM yang terbuang, maksud saya Anda masih harus memberikannya watt jadi mengapa menghapus barang-barang di atasnya ketika sesuatu yang lain tidak ingin berada di sana? Dibutuhkan 100x lebih lama untuk mendapatkannya kembali.
Lebih penting lagi, jika Anda Filevault atau APFS, SEMUA data itu dienkripsi dan harus didekripsi untuk dibaca. Banyak aplikasi benar-benar perlu diluncurkan dan kemudian memindai ketika mereka dimuat karena banyak file dapat datang bersama-sama untuk membentuk ancaman dalam ruang memori sebagai 'file bersamaan' tunggal. Virus dapat disimpan sebagian dalam dylib untuk aplikasi yang sama sekali tidak terkait.
Jumlah waktu diputuskan secara aktif oleh Grand Central Dispatch di mac Anda dan segera setelah Anda mencoba menggunakan program yang membutuhkan RAM logis, ia akan mencoba menghapusnya. Perhatikan bahwa Memori Virtual dalam kasus ini harus besar, karena semua hal yang didekripsi disimpan lebih baik di sana sampai Anda benar-benar kehabisan ruang daripada dihapus pada pass sekunder segera setelah pembuatan berulang kali.
Ini adalah perilaku baru di zaman SSD untuk memaksimalkan masa pakai drive lebih dari responsif. Perilaku GCD saat ini menunjukkan bahwa perlambatan berasal dari CPU yang cepat membuat data yang didekripsi lebih cepat daripada yang dapat ditulis ke disk dan permintaan lain untuk RAM harus menunggu SSD / HDD untuk menyelesaikan.
sumber
YaraScan runs once after Mojave update, and then deletes itself.
Ini berjalan untuk saya setelah panik kernel, jadi saya menganggap sistem memuatnya dari drive pemulihan sesuai kebutuhan. Hanya FYI./System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc
. Ini ada di macOS 10.13.6.Ini berjalan pada 10.13.6 (17G65) juga.
Sepertinya https://github.com/virustotal/yara
/apple/296339/mrt-process-using-large-unbounded-amount-of-memory
sumber
Itu tidak benar-benar mengkonsumsi RAM Anda. Kemungkinan menggunakan memori yang dipetakan I / O ketika membaca file-file itu, tetapi itu hanya berarti bahwa konten file dipetakan ke ruang memori virtual, itu tidak benar-benar berarti bahwa memori fisik digunakan. Untuk penggunaan aktual Anda perlu melihat "Ukuran memori nyata di Monitor Aktivitas.
sumber