O que é o “YaraScanService” que aparece no macOS Mojave Beta (10.14) e no macOS High Sierra (10.13.6)?

27

Acabei de atualizar para o macOS Mojave versão 10.14 Beta e notei um novo processo chamado YaraScanService. O processo está consumindo muita RAM (cerca de 10 GB). Eu matei o processo usando o Activity Monitor, mas ele voltou uma hora depois.

  • O que é esse processo e o que exatamente faz?
  • Existe uma maneira de desligá-lo e / ou impedi-lo de sobrecarregar a memória?
macos memory cpu Farabi Abdelwahed
fonte
1
É da Ferramenta de Remoção de Apple Malware (/System/Library/CoreServices/MRT.app/). Veja Na versão 10.14 Beta 2 - o que o YaraScanService faz? . Consulte Como faço para remover o Yarascan do osx? e qual é o aplicativo MRT? . É o resultado da atualização do Mojave e deve parar a verificação eventualmente. Não remova o MRT.app se você confiar nos recursos de segurança da Apple.
user187561
Veja também Do que o XProtect e o MRT protegem o seu Mac? .
user187561
Existe alguma maneira de limitar o uso de memória RAM? ou é o custo de usar uma versão Beta
Farabi Abdelwahed

Respostas:

17

O MRT / YaraScan é uma ferramenta antivírus protegida por direitos autorais do MacOS. A razão para o uso obsceno da memória é basicamente o motivo pelo qual o OSX não possui um 'antivírus' formal.

Mais simplesmente, o YaraScan é uma parte do 'conjunto de volatilidade' aqui; https://www.volatilityfoundation.org/about

Perceba que um vírus e um material pirateado ilegalmente são detectados apenas por um conjunto de caminhos de código 'assinatura' e dependem frequentemente de bugs, explorações e correções fracas, portanto, é de se esperar que o antivírus moderno mais forte tenha sido criado a partir de direitos autorais ferramenta de detecção de infrações.

O YaraScan é executado uma vez após a atualização do Mojave e, em seguida, é excluído. Também foi visto que persiste em certos sistemas MacOS no MRT. O motivo pelo qual usa tanta memória é porque, a menos que seja programado de outra forma (como é uma opção de exclusão), um processo que precisa digitalizar uma grande quantidade de arquivos em busca de um arquivo de tamanho desconhecido que pode ser criptografado nos referidos arquivos pesquisados ​​usará uma grande quantidade de arquivos. quantidade de memória inativa para salvar todos os arquivos digitalizados descriptografados por um período limitado, caso sejam necessários novamente. Por quê? Como a RAM vazia é uma RAM desperdiçada, quero dizer que você ainda precisa dar watts. Por que excluir as coisas quando outra coisa não quer estar lá? Demora 100x mais tempo para recuperá-lo.

Mais importante, se você faz o Filevault ou o APFS, TODOS esses dados são criptografados e devem ser descriptografados para serem lidos. Na verdade, muitos aplicativos precisam ser iniciados e verificados quando carregados, pois muitos arquivos podem se unir para formar uma ameaça no espaço de memória como um único 'arquivo simultâneo'. Os vírus podem ser parcialmente armazenados em um dylib para um aplicativo completamente não relacionado.

A quantidade de tempo é decidida ativamente pelo Grand Central Dispatch no seu Mac e, assim que você tentar usar um programa que precise dessa RAM lógica, ele tentará limpá-lo. Observe que a memória virtual nesse caso deve ser grande, pois todo esse material descriptografado é melhor armazenado lá até você ficar literalmente sem espaço do que excluído em uma passagem secundária logo após a criação repetidamente.

Esse é um novo comportamento na era dos SSDs para maximizar a vida útil da unidade em relação à capacidade de resposta. O comportamento atual do GCD sugere que as lentidões são de uma CPU rápida, criando dados descriptografados mais rapidamente do que podem ser gravados no disco e outras solicitações à RAM, que precisam aguardar a conclusão do SSD / HDD.

user1901982
fonte
10
Então a Apple está bisbilhotando o armazenamento das pessoas sem o seu conhecimento? Como isso não é notícia de primeira página na porta DRM da Sony?
Dhchdhd 19/07/19
4
YaraScan runs once after Mojave update, and then deletes itself. Ele está sendo executado para mim após um pânico no kernel, portanto, presumo que o sistema o carregue da unidade de recuperação, conforme necessário. Apenas para sua informação.
Shelton
1
É bom saber que este é um acordo único. Acabei de atualizar o meu sistema operacional depois de ter uma série de problemas e, em seguida, ver um programa desconhecido relacionado a vírus era preocupante.
Dan Loughney
7
Definitivamente, não se excluiu depois de executar na minha máquina. No pico, o monitor de atividades o mostrava usando 80,50 GB de RAM (minha caixa possui 32 GB de RAM física). Deixei que funcionasse até o processo desaparecer. O executável ainda existe em /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. Isso está no macOS 10.13.6.
Pjv 20/09
1
O YaraScan agora faz parte do XProtect / MRT / Gatekeeper. MRT sendo literalmente Ferramenta de Remoção de Malware. Antes da versão 10.13, acredito que esteja no instalador, mas estou no mesmo sistema e não o tenho presente. Vou atualizar esta resposta para refletir isso. Quanto ao grande uso de RAM, lembre-se de que é memória virtual, também conhecida como arquivo no disco do tamanho X (com o bônus desse arquivo sempre excluindo ao fechar). Será muito maior que a RAM devido ao fato de que o MRT não usará muita RAM para armazenar bytes descriptografados, basta despejá-lo no disco até você ficar sem espaço e se preocupar com a exclusão.
user1901982
7

Também está sendo executado em 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Parece provável https://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

dhchdhd
fonte
3
De fato. Pelo que sei, o YaraScanService é apenas parte do MRT, e pelo menos na versão 10.13.6 o MRT parece ser executado após cada reinicialização. Pode nem sempre executar a parte YaraScanService de si mesma, mas, na minha experiência, é o que acontece.
Greg A. Woods,
4
Uma ótima maneira de aumentar a obsolescência de macs mais antigos ... Eu: "Meu Mac está lento por causa da Yara!" Apple: "Então você quer ter vírus? Melhor atualizar seu mac"
w00t
2
Acabei removendo-o bc Eu nunca executo código não confiável. A adição de recursos que afetam o desempenho da Apple sem fornecer uma maneira fácil de desativá-los (por exemplo, configurações gerenciadas por um novo campo de segurança) parece um pouco desagradável.
dhchdhd 31/08/18
2

Realmente não consome sua RAM. Provavelmente, usa E / S mapeada na memória ao ler esses arquivos, mas isso significa apenas que o conteúdo do arquivo é mapeado para o espaço da memória virtual; na verdade, não significa que a memória física seja usada. Para uso real, é necessário consultar "Tamanho real da memória no Activity Monitor.

Matt K.
fonte
1
Na verdade, ele usa RAM (e também a E / S mapeada na memória também usa RAM - essa é a idéia!), Fazendo com que a RAM já usada seja compactada e / ou empurrada para troca, exacerbando ainda mais a usabilidade do sistema enquanto ele é executado
Greg A. Woods
Não é assim que a E / S do arquivo mapeado na memória funciona. Ele apenas mapeia o arquivo para o espaço de endereço da memória, na verdade, não aloca nenhuma memória para ele. O espaço de endereço nas plataformas de 64 bits é 2 ^ 64 grande (em teoria, dependendo da plataforma, alguns bits podem ter um propósito especial), o que está muito além da capacidade da memória física.
Matt K.
1
A E / S mapeada na memória definitivamente "aloca" a memória física - e, portanto, causa "pressão" na memória, forçando o kernel a compactar e / ou sair da página, caso contrário, a memória ativa ainda é usada para outros fins. Você não pode colocar algo na memória se não tiver um lugar específico na memória física real alocada para copiá-lo. O espaço de endereço da memória virtual é mapeado diretamente para a memória física sempre que um processo o acessa de qualquer maneira, mesmo que essa área específica seja apoiada pelo armazenamento secundário, como na E / S mapeada na memória.
Greg A. Woods,
É claro que os arquivos mapeados na memória são acessados ​​através da memória física, mas esses blocos são tratados como um cache e são os primeiros a sofrer pressão de memória. Nenhuma implementação de paginação do sistema operacional sã comprimiria ou trocaria as páginas de memória ativa, mantendo uma quantidade significativa de páginas mapeadas. Nesse caso, o YaraScanService no meu computador tinha mais de 20 gigabytes mapeados, mas usava apenas cerca de 300 MB de memória física. Basicamente, afirmar que a E / S do arquivo mapeado na memória causa pressão na memória é o mesmo que afirmar que o cache do disco causa troca e pressão na memória.
Matt K.
1
A E / S mapeada na memória requer muito mais memória física do que o cache de buffer equivalente, especialmente com alguns padrões de acesso. Se você observar a quantidade de pressão de memória (no gráfico na guia "Memória" do Monitor de Atividades) e o crescimento da memória compactada e / ou uso de trocas enquanto o YaraScanService é executado em qualquer máquina com um sistema de arquivos grande e completo e muitas outras Em grandes processos em execução, você verá que isso causa uma grande quantidade de interrupção, na medida em que às vezes causa surra. Mesmo quando o Chrome vaza memória e fica enorme, não é tão porco quanto o YSS.
Greg A. Woods