it-swarm.com.de

Was ist "YaraScanService", das in macOS Mojave Beta (10.14) und macOS High Sierra (10.13.6) angezeigt wird?

Ich habe gerade auf macOS Mojave 10.14 Beta aktualisiert und einen neuen Prozess namens YaraScanService entdeckt. Der Prozess verbraucht zu viel RAM (ungefähr 10 GB). Ich habe den Vorgang mit Activity Monitor abgebrochen, aber eine Stunde später wieder aufgenommen.

  • Was ist dieser Prozess und was genau macht er?
  • Gibt es eine Möglichkeit, es herunterzufahren und/oder daran zu hindern, die Erinnerung zu zerstören?
24

MRT/YaraScan ist ein urheberrechtlich geschütztes MacOS-Tool. Der Grund für die obszöne Speichernutzung ist im Grunde, warum OSX kein offizielles "Antivirus" hat.

Einfacher ist YaraScan ein Teil der 'Volatility Suite' hier; https://www.volatilityfoundation.org/about

Stellen Sie sicher, dass sowohl ein Virus als auch illegales Raubkopienmaterial nur durch einen "Signatur" -Satz von Codepfaden erkannt werden und beide häufig von Fehlern, Exploits und schwachen Patches abhängen. Es ist daher nur zu erwarten, dass das stärkste moderne Virenschutzprogramm aus einem Urheberrecht hervorgegangen ist Tool zur Aufdeckung von Verstößen.

YaraScan wird nach dem Mojave-Update einmal ausgeführt und löscht sich dann von selbst. Es wurde auch festgestellt, dass es auf bestimmten MacOS-Systemen innerhalb von MRT bestehen bleibt. Der Grund für die Verwendung von so viel Speicher liegt darin, dass ein Prozess, der eine große Menge von Dateien nach einer Datei unbekannter Größe durchsuchen muss, die möglicherweise in den durchsuchten Dateien verschlüsselt ist, eine große Menge verwendet, sofern nichts anderes programmiert ist (wie dies bei einem Opt-Out der Fall ist) Menge an inaktivem Speicher, um alle entschlüsselten gescannten Dateien für eine begrenzte Zeit zu speichern, falls sie erneut benötigt werden. Warum? Da leer RAM RAM verschwendet wird, müssen Sie ihm trotzdem Watt geben. Warum sollten Sie also die Inhalte löschen, wenn etwas anderes nicht dabei sein möchte? Es dauert 100x länger, um es zurückzubekommen.

Noch wichtiger ist, dass bei Verwendung von Filevault oder APFSALLEdieser Daten verschlüsselt sind und zum Lesen entschlüsselt werden müssen. Viele Apps müssen tatsächlich gestartet und dann gescannt werden, wenn sie geladen werden, da viele Dateien zusammenkommen und eine Bedrohung im Speicherbereich als eine einzige "gleichzeitige Datei" darstellen können. Viren können für eine völlig unabhängige App teilweise in einer Dylib gespeichert werden.

Die Zeitdauer wird von Grand Central Dispatch auf Ihrem Mac aktiv festgelegt. Sobald Sie versuchen, ein Programm zu verwenden, das dieses logische RAM benötigt, wird versucht, es zu löschen. Beachten Sie, dass der virtuelle Speicher in diesem Fall sollte groß sein, da all das entschlüsselte Material dort besser gespeichert wird, bis Sie buchstäblich keinen Speicherplatz mehr haben, als bei einem zweiten Durchgang kurz nach der wiederholten Erstellung gelöscht zu werden.

Dies ist ein neues Verhalten im Zeitalter von SSDs, um die Lebensdauer des Laufwerks gegenüber der Reaktionszeit zu maximieren. Das aktuelle GCD-Verhalten deutet darauf hin, dass die Verlangsamung von einer schnellen CPU ausgeht, die entschlüsselte Daten schneller erstellt, als sie auf die Festplatte geschrieben werden können, und dass andere Anforderungen an RAM warten müssen, bis SSD/HDD beendet ist.

16
user1901982

Es läuft auch auf 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Sieht wahrscheinlich aus https://github.com/virustotal/yara

https://Apple.stackexchange.com/questions/296339/mrt-process-using-large-unbounded-amount-of-memory

7
dhchdhd

Es verbraucht nicht wirklich Ihren RAM. Wahrscheinlich werden beim Lesen dieser Dateien speicherzugeordnete E/A-Vorgänge verwendet. Dies bedeutet jedoch nur, dass der Dateiinhalt dem virtuellen Speicherbereich zugeordnet ist. Dies bedeutet jedoch nicht, dass physischer Speicher verwendet wird. Für die tatsächliche Verwendung müssen Sie im Aktivitätsmonitor unter "Reale Speichergröße" nachsehen.

2
Matt K.