Je viens de mettre à jour macOS Mojave version 10.14 Beta et j'ai remarqué un nouveau processus appelé YaraScanService
. Le processus consomme trop RAM (environ 10 Go). J'ai tué le processus en utilisant Activity Monitor mais il est revenu une heure plus tard.
MRT/YaraScan est un outil de copyright pour antivirus fourni par MacOS. La raison de son utilisation obscène de la mémoire est essentiellement la raison pour laquelle OSX n’a pas d’antivirus formel.
Plus simplement, YaraScan fait partie de la «suite de volatilité» ici; https://www.volatilityfoundation.org/about
Ne réalisez pas qu'un virus et du matériel piraté illégalement ne sont tous deux détectés que par un ensemble de «chemins de code» «signature» et qu'ils reposent souvent sur des bugs, des exploits et des correctifs limités. outil de détection des infractions.
YaraScan s'exécute une fois après la mise à jour de Mojave, puis se supprime. Il a également été observé que certains systèmes MacOS au sein de MRT persistaient. La raison pour laquelle il utilise autant de mémoire est due au fait que, sauf programmation contraire (comme dans le cas d'une option de retrait), un processus qui doit analyser une grande quantité de fichiers à la recherche d'un fichier de taille inconnue susceptible d'être crypté dans lesdits fichiers recherchés utilisera une grande quantité de mémoire inactive pour enregistrer tous les fichiers numérisés décryptés pendant une durée limitée, le cas échéant. Pourquoi? Parce que vide RAM est du gaspillage de RAM, je veux dire que vous devez toujours lui donner de la puissance, alors pourquoi supprimer les éléments dessus quand quelque chose d'autre ne veut pas être là? Cela prend 100 fois plus de temps pour le récupérer.
Plus important encore, si vous utilisez Filevault ou APFS,TOUTESde ces données sont chiffrées et doivent être déchiffrées pour être lues. De nombreuses applications doivent en fait être lancées puis analysées lorsqu'elles sont chargées, car de nombreux fichiers peuvent être rassemblés pour constituer une menace dans l'espace mémoire sous la forme d'un «fichier simultané» unique. Les virus peuvent être partiellement stockés dans un dylib pour une application totalement indépendante.
La quantité de temps est activement déterminée par Grand Central Dispatch dans votre Mac et dès que vous essayez d’utiliser un programme qui a besoin de cette logique RAM, il essaiera de l’effacer. Notez que, dans ce cas, la mémoire virtuelle devrait être volumineuse, car tout ce qui est déchiffré est mieux stocké là-bas jusqu'à ce qu'il ne vous manque plus d'espace que de le supprimer de manière répétée peu après la création.
Ce nouveau comportement à l’ère des disques SSD vise à maximiser la durée de vie des lecteurs au détriment de leur réactivité. Le comportement actuel de GCD suggère que les ralentissements proviennent d’un processeur rapide créant des données déchiffrées plus rapidement qu’il ne peut être écrit sur le disque et d’autres demandes adressées à RAM devant attendre la fin du SSD/HDD.
Il fonctionne sur 10.13.6 (17G65) également.
1054 66.3 2.1 62395936 359328 ?? Us 11:48AM 10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService
Cela semble probable https://github.com/virustotal/yara
https://Apple.stackexchange.com/questions/296339/mrt-process-using-large-unbounded-amount-of-memory
Cela ne consomme pas vraiment votre RAM. Il utilise probablement des E/S mappées en mémoire lors de la lecture de ces fichiers, mais cela signifie simplement que le contenu du fichier est mappé sur l'espace mémoire virtuel, cela ne signifie pas réellement que la mémoire physique est utilisée. Pour une utilisation réelle, vous devez examiner "Taille réelle de la mémoire dans Activity Monitor.