วิธีการปิดการใช้งานหรือลบ YaraScanService (MRT.app)

เมื่อเร็ว ๆ นี้ใน MacOS 10.13.6 ฉันสังเกตเห็นการใช้งาน CPU สูงและระบุกระบวนการYaraScanServiceว่าใกล้เคียงกับ CPU 90%

การตรวจสอบกิจกรรมแสดงไว้ภายใต้:

/System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

MRT.appเป็นส่วนหนึ่งของ

ตามด้ายนี้และอีกอันหนึ่งดูเหมือนว่าเป็นแอนติไวรัสในตัวที่กำลังทำการสแกน แต่ดูเหมือนว่าจะไม่มีวิธีการปิดการใช้งานหรือลบมันออกจากการฆ่ามันจาก Activity Monitor หรือด้วย pkill .

ตัวชี้ใด ๆ เกี่ยวกับวิธีควบคุมหรือหยุด / ปิดการใช้งาน

MRT.appถูก timestamped เมื่อวันที่ 10 ส.ค. 2018 พร้อมกับพวงของโฟลเดอร์อื่น ๆ (เห็นได้ชัดเมื่อวันที่ฉันได้รับการยอมรับการอัปเดตแอปเปิ้ล) ก ไฟล์ส่วนใหญ่ในโฟลเดอร์จะถูกประทับเวลา 4-Jul-2018 และ 8-Jul-2018 ตามที่คาดการณ์ไว้เมื่อ Apple เปิดตัวแอพ

ตามที่กล่าวไว้ในบทความนี้ YaraScanService เป็นส่วนหนึ่งของ MRT.app (เครื่องมือกำจัดมัลแวร์) หากคุณแน่ใจว่าระบบของคุณไม่ติดมัลแวร์และคุณไม่ต้องการให้ Apple ทำการป้องกันมัลแวร์โดยอัตโนมัติโดยไม่ต้องขอความยินยอมจากคุณคุณสามารถปิดใช้งานและ / หรือลบบริการ MRT โดยใช้คำสั่งเหล่านี้:

sudo launchctl stop com.apple.mrt
sudo launchctl remove com.apple.mrt

.plistไฟล์ที่เกี่ยวข้องจะอยู่ที่:

/System/Library/LaunchDaemons/com.apple.MRTd.plist
/System/Library/LaunchAgents/com.apple.MRTa.plist

หากวิธีการข้างต้นไม่ได้ผลสำหรับคุณ (เห็นได้ชัดว่า daemon สามารถเปิดใช้งานตัวเองได้) วิธีการที่รุนแรงกว่านั้นคือการปิดใช้งาน SIPด้วยcsrutil disableจากโหมดการกู้คืนและลบสิทธิ์การใช้งานบนไฟล์ MRT และ YaraScanService ด้วย:

chmod -R -x+X /System/Library/CoreServices/MRT.app

เมื่อคุณเปลี่ยนการอนุญาตแนะนำให้เปิดใช้งาน SIP อีกครั้งด้วยcsrutil enable(จากโหมดการกู้คืน )

คำตอบที่โพสต์โดยผู้ใช้1901982ใน Super User - "YaraScanService" คืออะไรที่ปรากฏใน macOS Mojave Beta (10.14) และ macOS High Sierra (10.13.6)
คัดลอกมาที่นี่เพื่อความสะดวกเช่นชุมชน wiki

MRT / YaraScan เป็นเครื่องมือลิขสิทธิ์แอนตี้ไวรัสลิขสิทธิ์ของ MacOS เหตุผลของการใช้งานหน่วยความจำลามกอนาจารนั้นเป็นเหตุให้ OSX ไม่มี 'แอนตี้ไวรัส' อย่างเป็นทางการ

ง่ายขึ้น YaraScan เป็นส่วนหนึ่งของ 'volatility suite' ที่นี่; https://www.volatilityfoundation.org/about

โปรดทราบว่าไวรัสและวัสดุที่ละเมิดลิขสิทธิ์อย่างผิดกฎหมายทั้งคู่ถูกตรวจพบโดยชุดโค้ดพา ธ 'ลายเซ็น' เท่านั้นและทั้งคู่มักพึ่งพาข้อผิดพลาดการหาประโยชน์และการแพตช์ที่อ่อนดังนั้นจึงคาดหวังว่าไวรัสที่ทันสมัยที่สุด เครื่องมือตรวจจับการละเมิด

YaraScan รันหนึ่งครั้งหลังจากอัพเดท Mojave แล้วลบตัวเองออก เหตุผลที่ใช้หน่วยความจำมากเป็นเพราะนอกจากจะตั้งโปรแกรมไว้ (เช่นในการเลือกไม่ใช้) กระบวนการที่ต้องสแกนเนื้อหาของไฟล์จำนวนมหาศาลอย่างไม่น่าเชื่อสำหรับไฟล์ขนาดที่ไม่รู้จักซึ่งอาจถูกเข้ารหัสลงในไฟล์ที่ค้นหาว่าจะใช้ หน่วยความจำที่ไม่ได้ใช้งานจำนวนมากเพื่อจัดเก็บไฟล์สแกนทั้งหมดในระยะเวลาที่ จำกัด ในกรณีที่จำเป็นต้องใช้อีกครั้ง ทำไม? เนื่องจากแรมว่างเปล่าเป็นแรมที่สูญเปล่าฉันหมายความว่าคุณยังคงต้องให้วัตต์ดังนั้นทำไมลบสิ่งที่อยู่ในนั้นเมื่อมีอย่างอื่นไม่ต้องการอยู่ที่นั่น ใช้เวลานานกว่า 100 เท่าในการเรียกคืน

ที่สำคัญกว่านั้นคือถ้าคุณ Filevault หรือ APFS ข้อมูลบางส่วนนั้นจะถูกเข้ารหัสและจะต้องถอดรหัสเพื่อให้สามารถอ่านได้ แอพจำนวนมากต้องการการเปิดใช้งานจากนั้นทำการสแกนเมื่อมีการโหลดไฟล์จำนวนมากเข้าด้วยกันเพื่อก่อให้เกิดภัยคุกคามในพื้นที่หน่วยความจำในรูปแบบ 'ไฟล์พร้อมกัน' ไฟล์เดียว โปรแกรมป้องกันไวรัสมาตรฐานไม่สามารถตรวจพบสิ่งนี้ได้จนกว่าแอปพลิเคชันจะทำงานอยู่และในขั้นตอนนั้นอาจทำให้ระบบของคุณเสียหายแล้ว

จำนวนเวลาจะถูกตัดสินใจอย่างแข็งขันโดย Grand Central Dispatch ใน mac ของคุณและทันทีที่คุณพยายามใช้โปรแกรมที่ต้องการ RAM มันจะทำการล้างออก