“ YaraScanService” คืออะไรที่ปรากฏใน macOS Mojave Beta (10.14) และ macOS High Sierra (10.13.6)

27

ฉันเพียงแค่การปรับปรุงเพื่อที่จะซ้อม MacOS รุ่น 10.14 Beta YaraScanServiceและฉันได้สังเกตเห็นกระบวนการใหม่ที่เรียกว่า กระบวนการใช้ RAM มากเกินไป (ประมาณ 10GB) ฉันฆ่ากระบวนการโดยใช้กิจกรรมการตรวจสอบ แต่มันกลับมาชั่วโมงต่อมา

  • กระบวนการนี้คืออะไรและมันทำอะไรกันแน่?
  • มีวิธีที่จะปิดมันและ / หรือหยุดมันจากหน่วยความจำ hogging?
macos  memory  cpu 
Farabi Abdelwahed
แหล่งที่มา
1
มาจากเครื่องมือกำจัดมัลแวร์ Apple (/System/Library/CoreServices/MRT.app/) ดูใน 10.14 Beta 2 - YaraScanService ทำอะไรได้บ้าง . ดูฉันจะลบ Yarascan ออกจาก osx ได้อย่างไร และสิ่งที่เป็น app MRT? . มันเป็นผลของการอัพเดทโมฮาวีและควรหยุดสแกนในที่สุด อย่าลบ MRT.app ถ้าคุณเชื่อมั่นในคุณสมบัติความปลอดภัยของ Apple เลย
user187561
user187561
มีการ จำกัด การใช้ RAM หรือไม่? หรือเป็นค่าใช้จ่ายในการใช้รุ่นเบต้า
Farabi Abdelwahed

คำตอบ:

17

MRT / YaraScan เป็นเครื่องมือลิขสิทธิ์แอนตี้ไวรัสลิขสิทธิ์ของ MacOS เหตุผลของการใช้งานหน่วยความจำลามกอนาจารนั้นเป็นเหตุให้ OSX ไม่มี 'แอนตี้ไวรัส' อย่างเป็นทางการ

ง่ายขึ้น YaraScan เป็นส่วนหนึ่งของ 'volatility suite' ที่นี่; https://www.volatilityfoundation.org/about

โปรดทราบว่าไวรัสและวัสดุที่ละเมิดลิขสิทธิ์อย่างผิดกฎหมายทั้งคู่ถูกตรวจพบโดยชุดโค้ดพา ธ 'ลายเซ็น' และทั้งคู่มักพึ่งพาข้อบกพร่องการหาประโยชน์และการแพตช์ที่อ่อนดังนั้นจึงเป็นที่คาดหวังว่าโปรแกรมป้องกันไวรัสที่ทันสมัย เครื่องมือตรวจจับการละเมิด

YaraScan รันหนึ่งครั้งหลังจากอัพเดท Mojave แล้วลบตัวเอง มันยังคงมีอยู่ในระบบ MacOS บางระบบภายใน MRT เหตุผลที่ใช้หน่วยความจำมากเป็นเพราะนอกจากจะตั้งโปรแกรมไว้ (เช่นในการเลือกไม่ใช้) กระบวนการที่ต้องสแกนไฟล์จำนวนมากสำหรับไฟล์ขนาดที่ไม่รู้จักซึ่งอาจถูกเข้ารหัสลงในไฟล์ที่ค้นหาว่าจะใช้ไฟล์ขนาดใหญ่ จำนวนหน่วยความจำที่ไม่ได้ใช้งานเพื่อบันทึกไฟล์สแกนที่ถอดรหัสทั้งหมดในระยะเวลาที่ จำกัด ในกรณีที่จำเป็นต้องใช้อีกครั้ง ทำไม? เนื่องจากแรมว่างเปล่าเป็นแรมที่สูญเปล่าฉันหมายความว่าคุณยังคงต้องให้วัตต์ดังนั้นทำไมลบสิ่งที่มันเมื่อมีอย่างอื่นไม่ต้องการที่จะมี? ใช้เวลานานกว่า 100 เท่าในการเรียกคืน

ที่สำคัญกว่านั้นคือถ้าคุณ Filevault หรือ APFS ข้อมูลทั้งหมดนั้นจะถูกเข้ารหัสและจะต้องถอดรหัสเพื่อให้สามารถอ่านได้ แอพจำนวนมากต้องการการเปิดใช้งานจากนั้นทำการสแกนเมื่อมีการโหลดไฟล์จำนวนมากเข้าด้วยกันเพื่อก่อให้เกิดภัยคุกคามในพื้นที่หน่วยความจำในรูปแบบ 'ไฟล์พร้อมกัน' ไฟล์เดียว ไวรัสสามารถเก็บไว้ใน dylib บางส่วนสำหรับแอพที่ไม่เกี่ยวข้องอย่างสมบูรณ์

จำนวนเวลาจะถูกตัดสินใจอย่างแข็งขันโดย Grand Central Dispatch ใน mac ของคุณและทันทีที่คุณพยายามใช้โปรแกรมที่ต้องการ RAM แบบโลจิคัลมันจะพยายามล้างมัน โปรดทราบว่าหน่วยความจำเสมือนในกรณีนี้ควรมีขนาดใหญ่เนื่องจากทุกสิ่งที่ถูกถอดรหัสจะถูกเก็บไว้ที่ดีกว่าจนกว่าคุณจะออกจากพื้นที่ว่างมากกว่าที่จะถูกลบในบัตรรองหลังจากการสร้างซ้ำ ๆ ในไม่ช้า

นี่เป็นพฤติกรรมใหม่ในยุคของ SSD เพื่อยืดอายุการใช้งานไดรฟ์ให้ตอบสนองได้ดี พฤติกรรม GCD ปัจจุบันแสดงให้เห็นว่าการชะลอตัวมาจาก CPU ที่รวดเร็วในการสร้างข้อมูลที่ถอดรหัสได้เร็วกว่าที่จะเขียนลงดิสก์และคำขออื่น ๆ ไปยัง RAM โดยไม่ต้องรอให้ SSD / HDD ทำงานจนเสร็จ

user1901982
แหล่งที่มา
10
ดังนั้น Apple กำลังสอดแนมในที่เก็บข้อมูลของผู้คนโดยปราศจากความรู้? นี่ไม่ใช่ข่าวหน้า a-la Sony DRM-gate อย่างไร
dhchdhd
4
YaraScan runs once after Mojave update, and then deletes itself. มันทำงานสำหรับฉันหลังจากเคอร์เนลตกใจดังนั้นฉันจึงคิดว่าระบบจะโหลดจากไดรฟ์กู้คืนตามต้องการ เพียงแค่ FYI
Shelton
1
เป็นการดีที่จะทราบว่านี่เป็นข้อตกลงแบบครั้งเดียว ฉันเพิ่งรีเฟรชระบบปฏิบัติการของฉันหลังจากมีปัญหาหลายอย่างและจากนั้นการเห็นโปรแกรมที่เกี่ยวข้องกับไวรัสที่ไม่คุ้นเคยกำลังทำให้เกิดปัญหา
Dan Loughney
7
มันไม่ได้ลบตัวเองอย่างแน่นอนหลังจากทำงานบนเครื่องของฉัน ที่จุดสูงสุดการตรวจสอบกิจกรรมพบว่าใช้ RAM 80.50 GB (กล่องของฉันมี RAM จริง 32 GB) ฉันปล่อยให้มันรันจนกว่ากระบวนการจะหายไป /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpcปฏิบัติการที่ยังคงมีอยู่ นี่คือบน macOS 10.13.6
pjv
1
YaraScan เป็นส่วนหนึ่งของ XProtect / MRT / Gatekeeper MRT เป็นเครื่องมือกำจัดมัลแวร์อย่างแท้จริง ก่อนหน้า 10.13 ฉันเชื่อว่ามันอยู่ในตัวติดตั้ง แต่ฉันอยู่ในระบบเดียวกันและไม่มีอยู่ในปัจจุบัน ฉันจะอัปเดตคำตอบนี้เพื่อสะท้อนถึงสิ่งนี้ สำหรับการใช้งาน RAM ขนาดใหญ่โปรดจำไว้ว่านี่คือหน่วยความจำเสมือน AKA ไฟล์บนดิสก์ขนาด X (พร้อมโบนัสของไฟล์นั้นจะถูกลบทิ้งเสมอ) มันจะใหญ่กว่า RAM เนื่องจากข้อเท็จจริงที่ว่า MRT จะไม่ใช้ RAM จำนวนมากในการจัดเก็บไบต์ที่ถอดรหัสแล้วเพียงแค่ทิ้งลงบนดิสก์จนกว่าคุณจะหมดพื้นที่แล้วกังวลเรื่องการลบ
user1901982
7

มันทำงานบน 10.13.6 (17G65) ด้วย

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

ดูเหมือนว่าhttps://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

dhchdhd
แหล่งที่มา
3
จริง จากสิ่งที่ฉันสามารถบอกได้ว่า YaraScanService เป็นเพียงส่วนหนึ่งของ MRT และอย่างน้อยใน 10.13.6 MRT ดูเหมือนว่าจะทำงานหลังจากรีบูตทุกครั้ง มันอาจไม่ได้ทำงานในส่วนของ YaraScanService เสมอไป แต่ในประสบการณ์ของฉัน
Greg A. Woods
4
เป็นวิธีที่ยอดเยี่ยมในการเพิ่มความล้าสมัยของแม็ครุ่นเก่า… Me: "Mac ของฉันช้าเพราะ Yara!" Apple: "ดังนั้นคุณต้องการมีไวรัสหรือไม่ควรอัพเกรด mac ของคุณ"
w00t
2
ฉันลงเอยด้วยการเอาออก bc ฉันไม่เคยเรียกใช้รหัสที่ไม่น่าเชื่อถือ Apple เพิ่มคุณสมบัติที่ส่งผลกระทบต่อประสิทธิภาพโดยไม่ต้องมีวิธีปิดการใช้งานอย่างง่าย (เช่นการตั้งค่าแบบ plist ที่จัดการโดยเขตรักษาความปลอดภัย prefpane ใหม่) ดูเหมือนจะไม่ได้รับการแก้ไข
dhchdhd
2

มันไม่ได้ใช้แรมของคุณจริงๆ อาจใช้หน่วยความจำที่แมป I / O เมื่ออ่านไฟล์เหล่านั้น แต่นั่นหมายถึงเฉพาะเนื้อหาไฟล์ที่ถูกแมปกับพื้นที่หน่วยความจำเสมือนจริง ๆ แล้วมันไม่ได้หมายความว่ามีการใช้หน่วยความจำกายภาพ สำหรับการใช้งานจริงคุณต้องดูที่ "ขนาดหน่วยความจำจริงในการตรวจสอบกิจกรรม

แมตต์เค
แหล่งที่มา
1
ที่จริงแล้วมันใช้ RAM (และหน่วยความจำที่แมป I / O ใช้ RAM ด้วย - นั่นเป็นแนวคิดทั้งหมด!) ทำให้ RAM ที่ใช้ไปแล้วถูกบีบอัดและ / หรือผลักออกเพื่อสลับซึ่งทำให้การใช้งานของระบบแย่ลง มันทำงาน
เกร็กเอ. วูดส์
นั่นไม่ใช่วิธีที่ไฟล์ I / O ที่แมปหน่วยความจำทำงาน มันแมปไฟล์ไปยังพื้นที่ที่อยู่หน่วยความจำจริง ๆ แล้วมันไม่ได้จัดสรรหน่วยความจำใด ๆ ให้กับมัน พื้นที่ที่อยู่บนแพลตฟอร์ม 64 บิตมีขนาดใหญ่ 2 ^ 64 (ในทางทฤษฎีขึ้นอยู่กับแพลตฟอร์มบางบิตอาจมีวัตถุประสงค์พิเศษ) ซึ่งเป็นวิธีที่เกินความจุของหน่วยความจำกายภาพ
Matt K.
1
I / O ของหน่วยความจำที่แมปส่วนใหญ่จะ "จัดสรร" หน่วยความจำทางกายภาพและทำให้หน่วยความจำ "ความดัน" บังคับให้เคอร์เนลบีบอัดและ / หรือเลื่อนหน้าออกมิฉะนั้นหน่วยความจำที่ใช้งานอยู่ยังคงใช้เพื่อวัตถุประสงค์อื่น คุณไม่สามารถใส่อะไรลงในหน่วยความจำได้หากคุณไม่มีสถานที่เฉพาะในหน่วยความจำกายภาพจริงที่จัดสรรให้คัดลอกไป พื้นที่ที่อยู่หน่วยความจำเสมือนถูกแมปโดยตรงกับหน่วยความจำกายภาพทุกครั้งที่กระบวนการเข้าถึงในทางใดทางหนึ่งแม้ว่าพื้นที่นั้นจะได้รับการสนับสนุนจากหน่วยเก็บข้อมูลรองเช่นเดียวกับใน I / O ที่แมปหน่วยความจำ
เกร็กเอ. วูดส์
แน่นอนว่าไฟล์ที่แมปหน่วยความจำนั้นสามารถเข้าถึงได้ผ่านหน่วยความจำกายภาพ แต่บล็อกเหล่านั้นจะถือว่าเป็นแคชและพวกเขาจะอยู่ภายใต้แรงกดดันหน่วยความจำก่อน ไม่มีการปรับใช้เพจระบบปฏิบัติการที่มีเหตุผลจะบีบอัดหรือสลับเพจหน่วยความจำที่แอ็คทีฟขณะที่รักษาเพจ mm ต์จำนวนมาก ในกรณีนี้ YaraScanService บนคอมพิวเตอร์ของฉันมีการแมปมากกว่า 20 กิกะไบต์ แต่ใช้หน่วยความจำกายภาพประมาณ 300MB เท่านั้น โดยทั่วไปอ้างว่าไฟล์ I / O ที่ถูกแม็พหน่วยความจำทำให้เกิดแรงกดดันหน่วยความจำเหมือนกับการอ้างสิทธิ์แคชดิสก์ทำให้เกิดการสลับและแรงดันหน่วยความจำ
แมตต์เค
1
หน่วยความจำที่แมป I / O ต้องการหน่วยความจำกายภาพมากกว่าแคชบัฟเฟอร์ที่เทียบเท่าโดยเฉพาะอย่างยิ่งกับรูปแบบการเข้าถึงบางอย่าง หากคุณดูที่จำนวนหน่วยความจำ (ในกราฟในแท็บกิจกรรม "หน่วยความจำ") และการเติบโตของหน่วยความจำที่บีบอัดและ / หรือการใช้งาน swap ในขณะที่ YaraScanService ทำงานบนเครื่องใด ๆ ที่มีระบบไฟล์ขนาดใหญ่และเต็ม กระบวนการขนาดใหญ่ที่ทำงานอยู่คุณจะเห็นว่ามันทำให้เกิดการหยุดชะงักอย่างรุนแรงในบางครั้งที่ทำให้เกิดการฟาดฟัน แม้ว่า Chrome จะมีหน่วยความจำรั่วและขยายตัวมากขึ้น แต่ Chrome ก็ไม่ได้เป็นเช่นนั้น
เกร็กเอ. วูดส์
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.