macOS Mojave Beta（10.14）およびmacOS High Sierra（10.13.6）に表示される「YaraScanService」とは何ですか？

macOS Mojaveバージョン10.14ベータ版に更新したところ、という新しいプロセスに気付きましたYaraScanService。プロセスが大量のRAMを消費しています（約10GB）。Activity Monitorを使用してプロセスを強制終了しましたが、1時間後に戻ってきました。

• このプロセスは何であり、それは正確に何をしますか？
• シャットダウンしたり、メモリを占有するのを止めたりする方法はありますか？

MRT / YaraScanは、MacOSが提供するウイルス対策著作権ツールです。わいせつなメモリ使用の理由は、基本的にOSXに正式な「アンチウイルス」がない理由です。

もっと簡単に言えば、YaraScanはここの「ボラティリティスイート」の一部です。https://www.volatilityfoundation.org/about

ウイルスと違法な海賊版の両方がコードパスの「シグネチャ」セットによってのみ検出され、多くの場合バグ、エクスプロイト、脆弱なパッチ適用に依存していることを認識してください。侵害検出ツール。

YaraScanは、Mojaveの更新後に1回実行され、その後自分自身を削除します。また、MRT内の特定のMacOSシステムで持続することも確認されています。メモリを大量に使用する理由は、オプトアウトなどでプログラムされていない限り、上記の検索ファイルに暗号化される可能性のある未知のサイズのファイルを大量のファイルでスキャンする必要があるプロセスが使用するためです復号化されたすべてのスキャンされたファイルが再び必要になった場合に限られた時間保存するための非アクティブなメモリの量。どうして？空のRAMは無駄なRAMであるため、まだワットを与えなければならないので、他の何かがそこに置かれたくないときに、その上のものを削除するのはなぜですか？取り戻すには100倍長くかかります。

さらに重要なことは、FilevaultまたはAPFS を使用している場合、そのデータはすべて暗号化されているため、解読するには解読する必要があります。実際には、多くのアプリを起動し、ロードするときにスキャンする必要があります。多くのファイルが集まって、単一の「同時ファイル」としてメモリ空間に脅威を形成する可能性があります。ウイルスは、完全に無関係なアプリのdylibに部分的に保存できます。

時間は、MacのGrand Central Dispatchによって積極的に決定され、その論理RAMを必要とするプログラムを使用しようとすると、すぐにクリアされます。この場合、仮想メモリは大きくする必要があります。復号化されたものはすべて、作成後すぐにセカンダリパスで削除するよりも文字通りスペースがなくなるまでそこに保存する方がよいためです。

これは、応答性よりもドライブ寿命を最大化するSSDの時代の新しい動作です。現在のGCDの動作は、SSD / HDDが終了するのを待たなければならないディスクへの書き込みやRAMへの他のリクエストよりも速く復号化データを作成する高速CPUによるスローダウンが原因であることを示唆しています。

10.13.6（17G65）でも実行されています。

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

可能性が高いhttps://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

実際にRAMを消費することはありません。これらのファイルを読み取るときにメモリマップI / Oを使用する可能性がありますが、これはファイルコンテンツが仮想メモリスペースにマップされることを意味するだけで、実際には物理メモリが使用されることを意味しません。実際の使用法については、「アクティビティモニターの実際のメモリサイズ」を確認する必要があります。