it-swarm-ja.com

macOS Mojave Beta(10.14)およびmacOS High Sierra(10.13.6)に表示される「YaraScanService」とは何ですか?

私はちょうどmacOS Mojaveバージョン10.14 Betaにアップデートしました、そして私はYaraScanServiceと呼ばれる新しいプロセスに気づきました。プロセスはRAMを消費しすぎています(約10GB)。 Activity Monitorを使用してプロセスを強制終了しましたが、1時間後に戻ってきました。

  • このプロセスとは何ですか。
  • シャットダウンしたり、メモリを消費しないようにする方法はありますか?
24

MRT/YaraScanは、MacOSが提供するウイルス対策著作権ツールです。それがわいせつなメモリ使用量の理由は、OSXが正式な 'アンチウイルス'を持っていない理由です。

もっと簡単に言うと、YaraScanはここでの「ボラティリティスイート」の一部です。 https://www.volatilityfoundation.org/about

ウイルスと違法コピーされた素材はどちらも「シグネチャ」のコードパスセットによってのみ検出され、多くの場合バグ、エクスプロイト、脆弱なパッチ適用に依存していることを理解してください。侵害検出ツール。

YaraScanはMojaveのアップデート後に1回実行され、その後自分自身を削除します。 MRT内の特定のMacOSシステムでも持続することが確認されています。それがあまりにも多くのメモリを使用する理由は、(オプトアウトのように)別の方法でプログラムされていない限り、検索されたファイルに暗号化される可能性のある未知のサイズのファイルを大量のファイルでスキャンしなければならないプロセスが大きいためです。復号化されたすべてのスキャン済みファイルを一定期間保存するための非アクティブメモリの量。どうして?空のRAMはRAMを無駄にするので、まだワットを与えなければならないのですが、それ以外のものが存在したくない場合はなぜその上のものを削除するのでしょうか。元に戻すには100倍かかります。

さらに重要なことに、FilevaultまたはAPFSの場合、そのデータのALLは暗号化されているため、読み取るには復号化する必要があります。多くのアプリケーションは、実際には起動してからロードするときにスキャンする必要があります。1つの「並行ファイル」として、多数のファイルが一緒になってメモリ空間に脅威を形成する可能性があるためです。ウイルスは完全に無関係なアプリのために部分的にdylibに保存することができます。

時間はあなたのMacのGrand Central Dispatchによって積極的に決定され、あなたがその論理RAMを必要とするプログラムを使用しようとするとすぐにそれはそれをクリアしようとします。この場合の仮想メモリ大きくする必要があることに注意してください。すべての復号化されたものは、作成直後に2次パスで削除されるよりも文字通りスペースがなくなるまで格納される方がよいため。

これは、応答性よりもドライブの寿命を最大化するためのSSD時代の新しい動作です。現在のGCDの動作は、ディスクへの書き込みやSSD/HDDの完了を待つ必要があるRAMへの他の要求よりも高速に復号化されたデータを作成する高速のCPUによるものです。

16
user1901982

10.13.6(17G65)でも動作しています。

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

らしい https://github.com/virustotal/yara

https://Apple.stackexchange.com/questions/296339/mrt-process-using-large-unbounded-amount-of-memory

7
dhchdhd

実際にはRAMを消費しません。これらのファイルを読み取るときにメモリマップドI/Oを使用する可能性がありますが、これはファイルの内容が仮想メモリスペースにマップされることを意味するだけで、実際に物理メモリが使用されることを意味しません。実際の使用方法については、「Activity Monitorの実際のメモリサイズ」を参照する必要があります。

2
Matt K.