¿Qué es "YaraScanService" que aparece en macOS Mojave Beta (10.14) y macOS High Sierra (10.13.6)?

27

Acabo de actualizar a macOS Mojave versión 10.14 Beta y he notado un nuevo proceso llamado YaraScanService. El proceso consume demasiada RAM (alrededor de 10 GB). Maté el proceso usando el Monitor de actividad, pero regresó una hora más tarde.

  • ¿Qué es este proceso y qué hace exactamente?
  • ¿Hay alguna manera de apagarlo y / o evitar que acapare la memoria?
macos memory cpu Farabi Abdelwahed
fuente
1
Es de la Herramienta de eliminación de malware de Apple (/System/Library/CoreServices/MRT.app/). Ver en 10.14 Beta 2: ¿qué hace YaraScanService? . Consulte ¿Cómo elimino Yarascan de osx? ¿ Y cuál es la aplicación MRT? . Es el resultado de la actualización de Mojave y eventualmente debería dejar de escanear. No elimine MRT.app si confía en absoluto en las funciones de seguridad de Apple.
user187561
Vea también ¿De qué XProtect y MRT protegen su Mac? .
user187561
¿Hay alguna posibilidad de limitar su uso de RAM? o es el gasto de usar una versión Beta
Farabi Abdelwahed

Respuestas:

17

MRT / YaraScan es una herramienta de derechos de autor antivirus provista por MacOS. La razón de su uso obsceno de la memoria es básicamente por qué OSX no tiene un 'antivirus' formal.

Más simplemente, YaraScan es una parte de la 'suite de volatilidad' aquí; https://www.volatilityfoundation.org/about

Tenga en cuenta que un virus y material pirateado ilegalmente solo se detectan mediante un conjunto de rutas de código 'firma' y ambos a menudo dependen de errores, exploits y parches débiles, por lo que es de esperar que el antivirus moderno más fuerte se haya creado a partir de un copyright herramienta de detección de infracción.

YaraScan se ejecuta una vez después de la actualización de Mojave y luego se elimina a sí mismo. También se ha visto que persiste en ciertos sistemas MacOS dentro de MRT. La razón por la que usa tanta memoria es porque, a menos que se programe lo contrario (como en una opción de exclusión), un proceso que tiene que escanear una gran cantidad de archivos en busca de un archivo de tamaño desconocido que pueda encriptarse en dichos archivos buscados utilizará un gran cantidad de memoria inactiva para guardar todos los archivos escaneados descifrados durante un tiempo limitado en caso de que se vuelvan a necesitar. ¿Por qué? Debido a que la RAM vacía es RAM desperdiciada, quiero decir que todavía tiene que darle vatios, entonces, ¿por qué eliminar las cosas cuando algo más no quiere estar allí? Se tarda 100 veces más en recuperarlo.

Más importante aún, si Filevault o APFS, TODOS esos datos están encriptados y deben desencriptarse para ser leídos. Muchas aplicaciones realmente necesitan iniciarse y luego escanearse cuando se cargan, ya que muchos archivos pueden unirse para formar una amenaza en el espacio de memoria como un solo 'archivo concurrente'. Los virus pueden almacenarse parcialmente en un dylib para una aplicación completamente no relacionada.

Grand Central Dispatch decide activamente la cantidad de tiempo en su Mac y, tan pronto como intente utilizar un programa que necesite esa RAM lógica, intentará borrarlo. Tenga en cuenta que la memoria virtual en este caso debería ser grande, ya que todo ese material descifrado se almacena mejor allí hasta que esté literalmente sin espacio que eliminado en un pase secundario poco después de la creación repetidamente.

Este es un nuevo comportamiento en la era de los SSD para maximizar la vida útil del disco sobre la capacidad de respuesta. El comportamiento actual de GCD sugiere que las ralentizaciones provienen de una CPU rápida que crea datos descifrados más rápido de lo que se puede escribir en el disco y otras solicitudes a la RAM que tienen que esperar a que SSD / HDD termine.

usuario1901982
fuente
10
¿Entonces Apple está husmeando en el almacenamiento de las personas sin su conocimiento? ¿Cómo es que esto no es noticia de primera plana a la Sony DRM-gate?
dhchdhd
44
YaraScan runs once after Mojave update, and then deletes itself. Se está ejecutando para mí después de un kernel panic, por lo que supongo que el sistema lo carga desde la unidad de recuperación según sea necesario. Solo para tu información.
Shelton
1
Es bueno saber que este es un trato único. Acabo de actualizar mi sistema operativo después de tener una serie de problemas y luego ver un programa relacionado con un virus desconocido era problemático.
Dan Loughney
77
Definitivamente no se eliminó a sí mismo después de ejecutar en mi máquina. En el pico, el monitor de actividad lo mostró usando 80.50 GB de RAM (mi caja tiene 32 GB de RAM física). Lo dejé correr hasta que desapareció el proceso. El ejecutable todavía existe en /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. Esto está en macOS 10.13.6.
pjv
1
YaraScan ahora es parte de XProtect / MRT / Gatekeeper. MRT es literalmente una herramienta de eliminación de malware. Antes de 10.13 creo que está en el instalador, pero estoy en el mismo sistema y no lo tengo presente. Actualizaré esta respuesta para reflejar esto. En cuanto al gran uso de RAM, tenga en cuenta que se trata de memoria virtual, también conocido como un archivo en el disco de tamaño X (con la ventaja de que ese archivo siempre se elimina al cerrar). Será mucho más grande que la RAM debido al hecho de que MRT no utilizará mucha RAM para almacenar bytes descifrados, simplemente vuélvalos al disco hasta que se quede sin espacio y luego se preocupe por eliminarlos.
user1901982
7

También se ejecuta en 10.13.6 (17G65).

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

Parece probable https://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

dhchdhd
fuente
3
En efecto. Por lo que puedo decir, YaraScanService es solo una parte de MRT, y al menos en 10.13.6 MRT parece ejecutarse después de cada reinicio. Puede que no siempre ejecute la parte de YaraScanService de sí mismo, pero en mi experiencia lo hace.
Greg A. Woods
44
Una gran manera de aumentar la obsolescencia de los equipos Mac más antiguos ... Yo: "¡Mi Mac es lenta debido a Yara! Apple: "¿Entonces quieres tener virus? Mejora tu Mac"
w00t
2
Terminé eliminándolo porque nunca ejecuto código no confiable. Apple agrega características que afectan el rendimiento sin proporcionar una manera fácil de deshabilitarlas (por ejemplo, la configuración de plist administrada por un nuevo campo de panel de seguridad) parece un poco desagradable.
dhchdhd
2

Realmente no consume tu RAM. Es probable que use E / S mapeadas en memoria al leer esos archivos, pero eso solo significa que el contenido del archivo está mapeado en el espacio de memoria virtual, en realidad no significa que se use memoria física. Para el uso real, debe mirar "Tamaño de memoria real en el Monitor de actividad.

Matt K.
fuente
1
En realidad, usa RAM (y también la E / S mapeada en memoria también usa RAM, ¡esa es toda la idea!), Lo que hace que la RAM ya usada se comprima y / o se expulse para intercambiar, lo que exacerba aún más la usabilidad del sistema mientras corre
Greg A. Woods
Así no es como funciona la memoria de E / S de archivo mapeado. Simplemente asigna el archivo al espacio de direcciones de memoria, en realidad no le asigna memoria. El espacio de direcciones en las plataformas de 64 bits es 2 ^ 64 grande (en teoría, dependiendo de la plataforma, algunos bits pueden tener un propósito especial), que está mucho más allá de la capacidad de la memoria física.
Matt K.
1
La E / S mapeada en memoria definitivamente "asigna" memoria física, y por lo tanto causa "presión" en la memoria, lo que obliga al núcleo a comprimir y / o expulsar la memoria, de lo contrario, la memoria activa todavía se usa para otros fines. No puede poner algo en la memoria si no tiene un lugar específico en la memoria física real asignado para copiarlo. El espacio de direcciones de la memoria virtual se asigna directamente a la memoria física cada vez que un proceso accede a él de alguna manera, incluso si esa área en particular está respaldada por un almacenamiento secundario como en las E / S asignadas a la memoria.
Greg A. Woods
Por supuesto, se accede a los archivos asignados a la memoria a través de la memoria física, pero esos bloques se tratan como una memoria caché y son los primeros en quedar bajo presión de memoria. Ninguna implementación sensata de paginación del sistema operativo comprimiría o intercambiaría páginas de memoria activa mientras se mantiene una cantidad significativa de páginas mapeadas. En este caso, el servicio YaraScanService en mi computadora tenía más de 20 gigabytes asignados pero solo usaba alrededor de 300 MB de memoria física. Básicamente, afirmar que la E / S del archivo mapeado en memoria causa presión de memoria es lo mismo que afirmar que la memoria caché de disco causa intercambio y presión de memoria.
Matt K.
1
La E / S mapeada en memoria requiere mucha más memoria física que la memoria caché del búfer equivalente, especialmente con algunos patrones de acceso. Si observa la cantidad de presión de memoria (en el gráfico en la pestaña "Memoria" del Monitor de actividad), y el crecimiento de la memoria comprimida y / o el uso de intercambio mientras YaraScanService se ejecuta en cualquier máquina con un sistema de archivos grande y completo y muchos otros En los procesos grandes que se ejecutan, verá que causa una gran cantidad de interrupciones en la medida en que a veces causa una paliza. Incluso cuando Chrome pierde memoria y crece enormemente, no es casi un cerdo como YSS.
Greg A. Woods