我刚刚更新到 macOS Mojave 版本 10.14 Beta,我注意到一个名为YaraScanService. 该过程消耗了太多 RAM(大约 10GB )。我使用活动监视器终止了该进程,但一小时后它又回来了。
use*_*982 19
MRT/YaraScan 是 MacOS 提供的防病毒版权工具。其淫秽内存使用的原因基本上是为什么 OSX 没有正式的“防病毒”。
更简单地说,YaraScan 是此处“波动率套件”的一部分;https://www.volatilityfoundation.org/about
请注意,病毒和非法盗版材料都只能通过一组“签名”代码路径检测到,并且通常都依赖于错误、漏洞利用和弱补丁,因此只能预期最强大的现代防病毒软件是从版权发展而来的侵权检测工具。
YaraScan 在 Mojave 更新后运行一次,然后自行删除。它也被视为在 MRT 中的某些 MacOS 系统上持续存在。它使用如此多内存的原因是因为除非另有编程(如选择退出),否则必须扫描大量文件以查找可能被加密为所述搜索文件的未知大小文件的进程将使用大非活动内存量,用于在有限的时间内保存所有解密的扫描文件,以防再次需要它们。为什么?因为空 RAM 是浪费 RAM,我的意思是你仍然必须给它瓦特所以为什么当其他东西不想在那里时删除它上的东西?恢复它需要 100 倍的时间。
更重要的是,如果您使用 Filevault 或 APFS,所有这些数据都是加密的,必须解密才能读取。许多应用程序实际上需要启动,然后在加载时进行扫描,因为许多文件可以聚集在一起,作为单个“并发文件”在内存空间中形成威胁。病毒可以部分存储在一个完全不相关的应用程序的 dylib 中。
时间量由 Mac 中的 Grand Central Dispatch 主动决定,一旦您尝试使用需要该逻辑 RAM 的程序,它就会尝试清除它。请注意,在这种情况下,虚拟内存应该很大,因为所有解密的内容都更好地存储在那里,直到您真正用完空间,而不是在重复创建后不久在辅助通道中删除。
这是 SSD 时代的新行为,可最大限度地提高驱动器寿命而不是响应能力。当前的 GCD 行为表明,速度减慢是由于快速 CPU 创建解密数据的速度比写入磁盘的速度快,而其他对 RAM 的请求必须等待 SSD/HDD 完成。
它也在 10.13.6 (17G65) 上运行。
1054 66.3 2.1 62395936 359328 ?? Us 11:48AM 10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService
看起来很可能https://github.com/virustotal/yara
https://apple.stackexchange.com/questions/296339/mrt-process-using-large-unbounded-amount-of-memory
| 归档时间: |
|
| 查看次数: |
43715 次 |
| 最近记录: |