O que é o “YaraScanService” que aparece no macOS Mojave Beta (10.14) e no MacOS High Sierra (10.13.6)?

20

Acabei de atualizar para o macOS Mojave versão 10.14 Beta e notei um novo processo chamado YaraScanService . O processo está consumindo muita RAM (cerca de 10 GB). Eu matei o processo usando o Activity Monitor, mas ele voltou uma hora depois.

  • O que é este processo e o que exatamente faz?
  • Existe uma maneira de desativá-lo e / ou impedir que ele monitore a memória?
por Farabi Abdelwahed 09.07.2018 / 23:19

3 respostas

13

O MRT / YaraScan é uma ferramenta de direitos autorais antivírus fornecida pelo MacOS. A razão para o uso de memória obscena é basicamente porque o OSX não tem um 'antivírus' formal.

Mais simplesmente, a YaraScan é uma parte do 'conjunto de volatilidade' aqui; link

Sei que um vírus e material pirateado ilegalmente são detectados apenas por um conjunto de caminhos de código de 'assinatura' e ambos geralmente dependem de bugs, exploits e patches fracos, então é de se esperar que o antivírus moderno mais strong tenha sido desenvolvido de uma ferramenta de detecção de violação de direitos autorais.

O YaraScan é executado uma vez após a atualização do Mojave e, em seguida, é excluído. Também foi visto persistir em certos sistemas MacOS dentro do MRT. A razão pela qual usa tanta memória é que, a menos que seja programado de outra forma (como em um opt-out), um processo que precisa varrer uma grande quantidade de arquivos para um arquivo de tamanho desconhecido que pode ser criptografado em arquivos pesquisados usará um grande quantidade de memória inativa para salvar todos os arquivos digitalizados descriptografados por um período de tempo limitado, caso sejam necessários novamente. Por quê? Porque RAM vazia é desperdiçada RAM, quero dizer que você ainda tem que dar watts então por que apagar as coisas sobre isso quando algo mais não quer estar lá? Demora 100x mais para recuperá-lo.

Mais importante ainda, se você for Filevault ou APFS, ALL desses dados será criptografado e deverá ser descriptografado para ser lido. Na verdade, muitos aplicativos precisam ser iniciados e verificados quando são carregados, já que muitos arquivos podem ser reunidos para formar uma ameaça no espaço da memória como um único "arquivo concorrente". Os vírus podem ser parcialmente armazenados em um dylib para um aplicativo completamente não relacionado.

A quantidade de tempo é ativamente decidida pelo Grand Central Dispatch no seu Mac e assim que você tentar usar um programa que precise dessa RAM lógica, ele tentará limpá-lo. Note que a memória virtual, neste caso, deve ser grande, já que todo aquele material descriptografado é melhor armazenado lá até que você esteja literalmente sem espaço do que deletado em uma passagem secundária logo após a criação repetidamente.

Esse é o novo comportamento na era dos SSDs para maximizar a vida útil em vez da capacidade de resposta. O comportamento atual do GCD sugere que as lentidões são de uma CPU rápida, criando dados descriptografados mais rapidamente do que podem ser gravados no disco e outras solicitações para a RAM ter que esperar que o SSD / HDD termine.

    
por 17.07.2018 / 14:16
6

Também está sendo executado no 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Parece provável que o link

link

    
por 13.07.2018 / 21:11
2

Não consome realmente sua memória RAM. Ele provavelmente usa a E / S mapeada na memória ao ler esses arquivos, mas isso significa apenas que o conteúdo do arquivo é mapeado para o espaço da memória virtual; na verdade, isso não significa que a memória física é usada. Para uso real, você precisa observar "Tamanho da memória real no Activity Monitor.

    
por 31.07.2018 / 00:59