Was ist "YaraScanService", das in macOS Mojave Beta (10.14) und macOS High Sierra (10.13.6) angezeigt wird?

27

Ich habe gerade auf macOS Mojave Version 10.14 Beta aktualisiert und einen neuen Prozess namens bemerkt YaraScanService. Der Prozess verbraucht zu viel RAM (ca. 10 GB). Ich habe den Vorgang mit Activity Monitor abgebrochen, aber eine Stunde später wieder aufgenommen.

  • Was ist dieser Prozess und was genau macht er?
  • Gibt es eine Möglichkeit, es herunterzufahren und / oder daran zu hindern, die Erinnerung zu zerstören?
macos memory cpu Farabi Abdelwahed
quelle
1
Es stammt aus dem Apple Malware Removal Tool (/System/Library/CoreServices/MRT.app/). Siehe In 10.14 Beta 2 - Was macht YaraScanService? . Siehe Wie entferne ich Yarascan von osx? und was ist die MRT App? . Es ist ein Ergebnis des Mojave-Updates und sollte irgendwann aufhören zu scannen. Entfernen Sie die MRT.app nicht, wenn Sie sich überhaupt auf die Sicherheitsfunktionen von Apple verlassen.
user187561
Siehe auch Vor was schützen XProtect und MRT Ihren Mac? .
user187561
Gibt es eine Möglichkeit, den RAM-Verbrauch zu begrenzen? oder ist es die Kosten für die Verwendung einer Beta-Version
Farabi Abdelwahed

Antworten:

17

MRT / YaraScan ist ein urheberrechtlich geschütztes MacOS-Tool. Der Grund für die obszöne Speichernutzung ist im Grunde, warum OSX kein offizielles "Antivirus" hat.

Einfacher ist YaraScan ein Teil der 'Volatility Suite' hier; https://www.volatilityfoundation.org/about

Stellen Sie sicher, dass sowohl ein Virus als auch illegal gefälschtes Material nur durch eine Reihe von "Signatur" -Code-Pfaden erkannt werden und beide häufig auf Bugs, Exploits und schwachen Patches beruhen. Es ist daher nur zu erwarten, dass das stärkste moderne Virenschutzprogramm aus einem Urheberrecht hervorgegangen ist Tool zur Aufdeckung von Verstößen.

YaraScan wird nach dem Mojave-Update einmal ausgeführt und löscht sich dann von selbst. Es wurde auch festgestellt, dass es auf bestimmten MacOS-Systemen innerhalb von MRT bestehen bleibt. Der Grund für die Verwendung von so viel Speicher liegt darin, dass ein Prozess, der eine große Menge von Dateien nach einer Datei unbekannter Größe durchsuchen muss, die möglicherweise in den durchsuchten Dateien verschlüsselt ist, eine große Menge verwendet, sofern nichts anderes programmiert ist (wie dies bei einem Opt-Out der Fall ist) Menge an inaktivem Speicher, um alle entschlüsselten gescannten Dateien für eine begrenzte Zeit zu speichern, falls sie erneut benötigt werden. Warum? Da leerer RAM verschwendet wird, müssen Sie ihn trotzdem mit Watt belegen. Warum sollten Sie also die Inhalte löschen, wenn etwas anderes nicht dabei sein möchte? Es dauert 100x länger, um es zurückzubekommen.

Wenn Sie Filevault oder APFS verwenden, werden ALLE diese Daten verschlüsselt und müssen zum Lesen entschlüsselt werden. Viele Apps müssen tatsächlich gestartet und dann gescannt werden, wenn sie geladen werden, da viele Dateien zusammenkommen und eine Bedrohung im Speicherbereich als eine einzige "gleichzeitige Datei" darstellen können. Viren können für eine völlig unabhängige App teilweise in einer Dylib gespeichert werden.

Der Zeitraum wird von Grand Central Dispatch auf Ihrem Mac aktiv festgelegt. Sobald Sie versuchen, ein Programm zu verwenden, das diesen logischen Arbeitsspeicher benötigt, wird versucht, ihn zu löschen. Beachten Sie, dass die virtuelle Speicher in diesem Fall sollte groß sein, als alles , was Zeug entschlüsselte besser dort gespeichert, bis man buchstäblich aus dem Raum ist als mehrmals kurz nach der Erstellung auf einem Sekundärdurchlauf gelöscht.

Dies ist ein neues Verhalten im Zeitalter von SSDs, um die Lebensdauer des Laufwerks gegenüber der Reaktionszeit zu maximieren. Das aktuelle GCD-Verhalten deutet darauf hin, dass die Verlangsamung von einer schnellen CPU ausgeht, die entschlüsselte Daten schneller erstellt, als sie auf die Festplatte geschrieben werden können, und dass andere Anforderungen an den Arbeitsspeicher warten müssen, bis die SSD / HDD abgeschlossen ist.

user1901982
quelle
10
Also beschnüffelt Apple den Speicher der Leute ohne deren Wissen? Wie ist das nicht Titelseiten-News a-la Sony DRM-Gate?
Dhchdhd
4
YaraScan runs once after Mojave update, and then deletes itself. Es läuft für mich nach einer Kernel-Panik, also gehe ich davon aus, dass das System es nach Bedarf vom Wiederherstellungslaufwerk lädt. Nur zur Info.
Shelton
1
Gut zu wissen, dass dies ein einmaliger Deal ist. Ich habe gerade mein Betriebssystem aktualisiert, nachdem ich eine Reihe von Problemen hatte, und dann war es beunruhigend, ein unbekanntes Virusprogramm zu sehen.
Dan Loughney
7
Es hat sich definitiv nicht selbst gelöscht, nachdem es auf meinem Computer ausgeführt wurde. Zu Spitzenzeiten zeigte der Aktivitätsmonitor an, dass 80,50 GB RAM verwendet wurden (meine Box verfügt über 32 GB physischen RAM). Ich habe es laufen lassen, bis der Prozess verschwunden ist. Die ausführbare Datei existiert noch um /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. Dies ist unter macOS 10.13.6.
pjv
1
YaraScan ist jetzt Teil von XProtect / MRT / Gatekeeper. MRT ist buchstäblich Malware Removal Tool. Vor 10.13 glaube ich, dass es im Installationsprogramm ist, aber ich bin auf demselben System und habe es nicht vorhanden. Ich werde diese Antwort aktualisieren, um dies widerzuspiegeln. Beachten Sie bitte, dass es sich bei der Verwendung des großen Arbeitsspeichers um virtuellen Arbeitsspeicher handelt. Bei AKA handelt es sich um eine Datei auf der Festplatte der Größe X (wobei der Bonus dieser Datei immer beim Schließen gelöscht wird). Es ist viel größer als RAM, da MRT nicht viel RAM zum Speichern entschlüsselter Bytes benötigt. Speichern Sie es einfach auf der Festplatte, bis Sie keinen Speicherplatz mehr haben, und sorgen Sie sich dann um das Löschen.
user1901982
7

Es läuft auch auf 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Schaut wahrscheinlich https://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

dhchdhd
quelle
3
Tatsächlich. Soweit ich weiß, ist YaraScanService nur ein Teil von MRT, und zumindest in 10.13.6 scheint MRT nach jedem Neustart zu laufen. Möglicherweise wird der YaraScanService-Teil nicht immer von ihm selbst ausgeführt, aber meiner Erfahrung nach.
Greg A. Woods
4
So eine großartige Methode, die Veralterung älterer Macs zu erhöhen ... Ich: "Mein Mac ist wegen Yara langsam!" Apple: "Sie möchten also Viren haben?
Rüsten Sie
2
Am Ende habe ich es entfernt, weil ich nie nicht vertrauenswürdigen Code ausgeführt habe. Das Hinzufügen von leistungsbeeinträchtigenden Funktionen durch Apple, ohne dass diese auf einfache Weise deaktiviert werden können (z. B. Plist-Einstellungen, die über ein neues Sicherheitsvoreinstellungsfeld verwaltet werden), scheint etwas unsinnig.
Dhchdhd
2

Es verbraucht nicht wirklich Ihren RAM. Wahrscheinlich werden beim Lesen dieser Dateien speicherzugeordnete E / A-Vorgänge verwendet. Dies bedeutet jedoch nur, dass der Dateiinhalt dem virtuellen Speicherbereich zugeordnet ist. Dies bedeutet jedoch nicht, dass physischer Speicher verwendet wird. Für die tatsächliche Verwendung müssen Sie im Aktivitätsmonitor unter "Reale Speichergröße" nachsehen.

Matt K.
quelle
1
Tatsächlich wird RAM verwendet (und auch speicherabgebildete E / A verwenden RAM - das ist die ganze Idee!), Wodurch bereits verwendeter RAM komprimiert und / oder zum Austauschen herausgeschoben wird, wodurch die Benutzerfreundlichkeit des Systems währenddessen weiter verschlechtert wird es läuft
Greg A. Woods
So funktioniert die speicherzugeordnete Datei-E / A nicht. Es ordnet die Datei nur dem Speicheradressraum zu, es reserviert tatsächlich keinen Speicher dafür. Der Adressraum auf 64-Bit-Plattformen ist 2 ^ 64 groß (theoretisch können einige Bits je nach Plattform einen speziellen Zweck haben), was weit über die Kapazität des physischen Speichers hinausgeht.
Matt K.
1
Memory-Mapped I / O "reserviert" definitiv physischen Speicher - und verursacht somit Speicher "Druck", wodurch der Kernel gezwungen wird, den ansonsten noch für andere Zwecke verwendeten aktiven Speicher zu komprimieren und / oder auszublättern. Sie können etwas nicht in den Speicher kopieren, wenn Sie nicht über einen bestimmten Bereich des realen physischen Speichers verfügen, in den Sie es kopieren können. Der Adressraum des virtuellen Speichers wird immer dann direkt dem physischen Speicher zugeordnet, wenn ein Prozess auf irgendeine Weise darauf zugreift, selbst wenn dieser bestimmte Bereich durch einen sekundären Speicher wie bei speicherzugeordneten E / A-Vorgängen gesichert ist.
Greg A. Woods
Natürlich wird auf speicherabgebildete Dateien über den physischen Speicher zugegriffen, aber diese Blöcke werden wie ein Cache behandelt und müssen zuerst unter Speicherdruck gesetzt werden. Keine vernünftige Betriebssystem-Paging-Implementierung würde aktive Speicherseiten komprimieren oder austauschen, während eine signifikante Menge von MMAP-Seiten erhalten bleibt. In diesem Fall hatte der YaraScanService auf meinem Computer über 20 Gigabyte zugeordnet, verbrauchte jedoch nur etwa 300 MB physischen Speicher. Grundsätzlich ist die Behauptung, dass Datei-E / A mit Speicherzuordnung Speicherdruck verursacht, gleichbedeutend mit der Behauptung, dass Festplatten-Cache Auslagerungen und Speicherdruck verursacht.
Matt K.
1
Speicherzugeordnete E / A erfordern viel mehr physischen Speicher als der entsprechende Puffercache, insbesondere bei einigen Zugriffsmustern. Wenn Sie sich die Größe des Speicherdrucks (in der Grafik auf der Registerkarte "Speicher" des Aktivitätsmonitors) und die Zunahme des komprimierten Speichers und / oder der Auslagerungsnutzung ansehen, während YaraScanService auf jedem Computer mit einem großen und vollständigen Dateisystem und vielen anderen ausgeführt wird Wenn große Prozesse ausgeführt werden, werden Sie feststellen, dass dies zu schwerwiegenden Störungen in dem Maße führt, in dem es manchmal zu Thrashing kommt. Selbst wenn Chrome Speicher verliert und sehr groß wird, ist es nicht annähernd so ein Schwein wie YSS.
Greg A. Woods