macOS Mojave Beta (10.14) 및 macOS High Sierra (10.13.6)에 표시되는 "YaraScanService"는 무엇입니까?

27

방금 macOS Mojave 버전 10.14 베타로 업데이트했으며라는 새로운 프로세스를 발견했습니다 YaraScanService. 프로세스가 너무 많은 RAM을 사용하고 있습니다 (약 10GB). Activity Monitor를 사용하여 프로세스를 종료했지만 한 시간 후에 다시 나타났습니다.

  • 이 과정은 무엇이며 정확히 무엇을합니까?
  • 종료 및 / 또는 메모리 호깅을 막을 수있는 방법이 있습니까?
macos  memory  cpu 
파라 비 압델와 예드
소스
1
Apple Malware Removal Tool (/System/Library/CoreServices/MRT.app/)에서 가져 왔습니다. 10.14 베타 2-YaraScanService의 기능은 무엇입니까?를 참조하십시오 . . osx에서 Yarascan을 제거하는 방법을 참조하십시오 . MRT를 응용 프로그램은 무엇인가? . Mojave 업데이트의 결과이며 결국 스캔을 중단해야합니다. Apple의 보안 기능을 사용하는 경우 MRT.app을 제거하지 마십시오.
user187561
user187561
램 사용을 제한 할 거리가 있습니까? 아니면 베타 버전을 사용하는 비용
입니까

답변:

17

MRT / YaraScan은 MacOS에서 제공하는 안티 바이러스 저작권 도구입니다. 외설스러운 메모리 사용의 이유는 기본적으로 OSX에 공식적인 '바이러스 백신'이없는 이유입니다.

간단히 말해 YaraScan은 여기서 '휘발성 제품군'의 일부입니다. https://www.volatilityfoundation.org/about

바이러스 및 불법 복제 된 자료는 모두 '서명'코드 경로 세트에 의해서만 감지되며 버그, 익스플로잇 및 약한 패치에 의존하기 때문에 가장 강력한 최신 안티 바이러스가 저작권에서 자란 것으로 예상됩니다 침해 탐지 도구.

YaraScan은 Mojave 업데이트 후 한 번 실행 된 후 자체 삭제됩니다. 또한 MRT 내의 특정 MacOS 시스템에서도 지속되는 것으로 나타났습니다. 메모리를 너무 많이 사용하는 이유는 다른 방법으로 프로그래밍하지 않는 한 (선택 해제와 같이), 검색된 파일로 암호화 될 수있는 알 수없는 크기의 파일에 대해 많은 양의 파일을 스캔해야하는 프로세스가 큰 파일을 사용하기 때문입니다. 암호 해독 된 모든 스캔 파일을 다시 필요한 경우에 대비하여 제한된 시간 동안 저장하기위한 비활성 메모리 양. 왜? 빈 RAM은 RAM을 낭비하기 때문에 여전히 와트를 제공해야하므로 다른 무언가가 필요하지 않을 때 왜 물건을 삭제해야합니까? 다시 가져 오는 데 100 배 더 오래 걸립니다.

더 중요한 것은, FileVault를 또는 APFS 당신이 경우, 모든 데이터의 암호화되어 읽을 수 해독해야합니다. 많은 앱이 실제로로드 된 경우 시작한 다음 스캔해야하므로 많은 파일이 모여 하나의 '동시 파일'로 메모리 공간에 위협이 될 수 있습니다. 바이러스는 완전히 관련이없는 앱을 위해 dylib에 부분적으로 저장 될 수 있습니다.

시간은 Mac에서 Grand Central Dispatch에 의해 적극적으로 결정되며 논리 RAM이 필요한 프로그램을 사용하려고 시도하면 삭제하려고 시도합니다. 이 경우 가상 메모리는 점에 유의 해야한다 반복적으로 바로 생성 후 보조 패스를 삭제보다는 문자 그대로 우주 공간의 때까지 물건을 해독 모든 더가 저장 될 때, 큰 수.

이는 SSD 시대의 새로운 행동으로 응답성에 비해 드라이브 수명을 극대화합니다. 현재 GCD 동작은 디스크에 기록 할 수있는 것보다 빠른 CPU 속도와 디스크 / 기타 RAM에 대한 요청을 SSD / HDD가 완료 될 때까지 기다려야하는 속도보다 빠른 CPU 속도 저하를 의미합니다.

사용자
소스
10
그렇다면 애플은 사람들이 모르게 사람들의 스토리지를 스누핑하고 있습니까? 이것은 첫 페이지 뉴스 a-la Sony DRM-gate가 아닌 이유는 무엇입니까?
dhchdhd
4
YaraScan runs once after Mojave update, and then deletes itself. 커널 패닉 후 나에게 실행 중이므로 필요에 따라 시스템이 복구 드라이브에서로드한다고 가정합니다. 참고로
Shelton
1
이것이 일회성 거래임을 아는 것이 좋습니다. 일련의 문제가 발생한 후 OS를 새로 고친 후 낯선 바이러스 관련 프로그램이 문제가되는 것을 보았습니다.
Dan Loughney
7
내 컴퓨터에서 실행 한 후에도 자체적으로 삭제되지 않았습니다. 피크에서 활동 모니터는 80.50GB의 RAM을 사용하여 표시했습니다 (내 상자에는 32GB의 물리적 램이 있음). 프로세스가 사라질 때까지 실행되도록했습니다. 실행 파일은 여전히에 있습니다 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc. 이것은 macOS 10.13.6에 있습니다.
pjv
1
YaraScan은 이제 XProtect / MRT / Gatekeeper의 일부입니다. MRT는 말 그대로 멀웨어 제거 도구입니다. 10.13 이전에는 설치 프로그램에 있다고 생각하지만 동일한 시스템에 있으며 설치되어 있지 않습니다. 이를 반영하여이 답변을 업데이트하겠습니다. 큰 RAM 사용에 관해서는 이것이 가상 메모리, 일명 X 크기의 디스크에있는 파일이라는 것을 명심하십시오 (해당 파일의 보너스는 항상 닫을 때 삭제). MRT는 해독 된 바이트를 저장하는 데 많은 RAM을 사용하지 않기 때문에 공간이 부족할 때까지 디스크에 덤프 한 다음 삭제에 대해 걱정하기 때문에 RAM보다 훨씬 큽니다.
user1901982
7

10.13.6 (17G65)에서도 실행됩니다.

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

아마도 https://github.com/virustotal/yara 처럼 보입니다.

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

dhchdhd
소스
3
과연. 내가 알 수 있듯이 YaraScanService는 MRT의 일부일 뿐이며 적어도 10.13.6에서 MRT는 모든 재부팅 후에 실행되는 것으로 보입니다. 항상 YaraScanService 부분을 실행하지는 않지만 제 경험상 그렇게합니다.
Greg A. Woods
4
오래된 맥의 노후화를 증가시키는 훌륭한 방법… 나 : "야라 때문에 내 맥이 느리다!" 애플 : "따라서 바이러스를 원하십니까? Mac을 더 잘 업그레이드하십시오"
w00t
2
신뢰할 수없는 코드를 실행하지 않는 bc를 제거했습니다. 성능에 영향을주는 기능을 쉽게 비활성화하지 않고 기능을 추가하는 애플 (예 : 새로운 보안 프리 패인 필드에서 관리하는 plist 설정)은 다소 불편합니다.
dhchdhd
2

실제로 RAM을 소비하지는 않습니다. 해당 파일을 읽을 때 메모리 매핑 I / O를 사용하지만 파일 내용이 가상 메모리 공간에 매핑된다는 의미 일 뿐이며 실제로 실제 메모리가 사용되는 것은 아닙니다. 실제로 사용하려면 "활동 모니터의 실제 메모리 크기"를 참조하십시오.

맷 케이
소스
1
실제로 RAM을 사용합니다 (또한 메모리 매핑 I / O도 RAM을 사용합니다-그 아이디어입니다!). 이미 사용 된 RAM이 압축 및 / 또는 스왑을 위해 푸시 아웃되어 시스템의 사용성을 더욱 악화시킵니다. 그것은 실행
그렉 A. 우즈
메모리 매핑 파일 I / O가 작동하는 방식은 아닙니다. 단지 파일을 메모리 주소 공간에 매핑하고 실제로 메모리를 할당하지는 않습니다. 64 비트 플랫폼의 주소 공간은 2 ^ 64가 큽니다 (이론적으로 플랫폼에 따라 일부 비트에는 특별한 목적이있을 수 있음). 이는 실제 메모리 용량을 넘어 섭니다.
Matt K.
1
메모리 매핑 된 I / O는 물리적 메모리를 "할당"하게되므로 메모리 "압력"을 발생시켜 커널이 다른 목적으로 여전히 사용중인 활성 메모리를 압축 및 / 또는 페이지 아웃하도록합니다. 실제 물리적 메모리에 특정 위치를 지정하지 않으면 메모리에 무언가를 넣을 수 없습니다. 가상 메모리 주소 공간은 프로세스가 어떤 방식 으로든 메모리 매핑 된 I / O에서와 같이 보조 스토리지에 의해 백업 되더라도 프로세스가 액세스 할 때마다 실제 메모리에 직접 매핑됩니다.
Greg A. Woods
물론 메모리 매핑 된 파일은 실제 메모리를 통해 액세스되지만 이러한 블록은 캐시처럼 취급되며 먼저 메모리 부족 상태가됩니다. 정상적인 운영 체제 페이징 구현은 많은 양의 mmaped 페이지를 유지하면서 활성 메모리 페이지를 압축하거나 스왑하지 않습니다. 이 경우 내 컴퓨터의 YaraScanService가 20GB 이상 매핑되었지만 약 300MB의 실제 메모리 만 사용했습니다. 기본적으로 메모리 매핑 된 파일 I / O가 메모리 부족을 유발한다고 주장하는 것은 디스크 캐시가 스왑 및 메모리 부족을 유발한다고 주장하는 것과 같습니다.
Matt K.
1
메모리 매핑 된 I / O에는 특히 일부 액세스 패턴을 사용하는 등가 버퍼 캐시보다 훨씬 많은 물리적 메모리가 필요합니다. YaraScanService가 전체 및 전체 파일 시스템이 있고 다른 많은 시스템에서 YaraScanService를 실행하는 동안 메모리 압력 (활동 모니터 "메모리"탭의 그래프에서) 및 압축 된 메모리 및 / 또는 스왑 사용량 증가를 살펴 보는 경우 대규모 프로세스를 실행하면 때때로 스 래싱을 유발하는 정도까지 심각한 양의 중단이 발생 함을 알 수 있습니다. Chrome에서 메모리가 누출되어 크게 커져도 YSS와 같은 돼지는 아닙니다.
Greg A. Woods 1
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.