Je viens de passer à macOS Mojave version 10.14 Beta et j'ai remarqué un nouveau processus appelé YaraScanService
. Le processus consomme trop de RAM (environ 10 Go). J'ai tué le processus en utilisant Activity Monitor mais il est revenu une heure plus tard.
- Quel est ce processus et que fait-il exactement?
- Existe-t-il un moyen de le fermer et / ou de l'empêcher de monopoliser la mémoire?
Réponses:
MRT / YaraScan est un outil antivirus protégé par MacOS. La raison de son utilisation de la mémoire obscène est essentiellement la raison pour laquelle OSX ne dispose pas d'un «antivirus» formel.
Plus simplement, YaraScan fait partie de la «suite de volatilité» ici; https://www.volatilityfoundation.org/about
Sachez qu'un virus et du matériel piraté illégalement ne sont détectés que par un ensemble de chemins de code `` signature '' et qu'ils dépendent souvent de bogues, d'exploits et de correctifs faibles.Il est donc normal que l'antivirus moderne le plus puissant soit issu d'un droit d'auteur outil de détection des infractions.
YaraScan s'exécute une fois après la mise à jour de Mojave, puis se supprime. Il a également été constaté qu'il persiste sur certains systèmes MacOS au sein de MRT. La raison pour laquelle il utilise autant de mémoire est que, sauf programmation contraire (comme c'est un opt-out), un processus qui doit analyser une grande quantité de fichiers pour un fichier de taille inconnue qui pourrait être crypté dans lesdits fichiers recherchés utilisera un grand quantité de mémoire inactive pour enregistrer tous les fichiers numérisés décryptés pendant une durée limitée au cas où ils seraient à nouveau nécessaires. Pourquoi? Parce que la RAM vide est de la RAM gaspillée, je veux dire que vous devez toujours lui donner des watts, alors pourquoi supprimer les trucs dessus quand quelque chose d'autre ne veut pas être là? Il faut 100 fois plus de temps pour le récupérer.
Plus important encore, si vous Filevault ou APFS, TOUTES ces données sont cryptées et doivent être décryptées pour être lues. De nombreuses applications doivent en fait être lancées puis analysées lorsqu'elles sont chargées, car de nombreux fichiers peuvent se regrouper pour former une menace dans l'espace mémoire en tant que «fichier simultané» unique. Les virus peuvent être partiellement stockés dans un dylib pour une application complètement indépendante.
La quantité de temps est activement décidée par Grand Central Dispatch dans votre Mac et dès que vous essayez d'utiliser un programme qui a besoin de cette RAM logique, il essaiera de l'effacer. Notez que la mémoire virtuelle dans ce cas doit être volumineuse, car tout ce qui est déchiffré y est mieux stocké jusqu'à ce que vous soyez littéralement à court d'espace que supprimé sur un passage secondaire peu de temps après la création à plusieurs reprises.
Il s'agit d'un nouveau comportement à l'ère des SSD pour maximiser la durée de vie du lecteur par rapport à la réactivité. Le comportement actuel de GCD suggère que les ralentissements proviennent d'un processeur rapide créant des données déchiffrées plus rapidement qu'elles ne peuvent être écrites sur le disque et d'autres requêtes sur la RAM devant attendre la fin du SSD / HDD.
la source
YaraScan runs once after Mojave update, and then deletes itself.
Il fonctionne pour moi après une panique du noyau, donc je suppose que le système le charge depuis le lecteur de récupération selon les besoins. Juste FYI./System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc
. C'est sur macOS 10.13.6.Il fonctionne également sur 10.13.6 (17G65).
Il semble probable https://github.com/virustotal/yara
/apple/296339/mrt-process-using-large-unbounded-amount-of-memory
la source
Il ne consomme pas vraiment votre RAM. Il utilise probablement des E / S mappées en mémoire lors de la lecture de ces fichiers, mais cela signifie uniquement que le contenu des fichiers est mappé sur l'espace de mémoire virtuelle, cela ne signifie pas réellement que la mémoire physique est utilisée. Pour une utilisation réelle, vous devez regarder "Taille réelle de la mémoire dans le moniteur d'activité.
la source