"YaraScanService" क्या है जो macOS Mojave Beta (10.14) और macOS हाई सिएरा (10.13.6) में दिखाई देता है?

27

मैं सिर्फ macOS Mojave संस्करण 10.14 बीटा में अपडेट किया गया और मैंने एक नई प्रक्रिया पर ध्यान दिया है जिसे कहा जाता है YaraScanService। यह प्रक्रिया बहुत अधिक रैम (लगभग 10GB) की खपत कर रही है। मैंने एक्टिविटी मॉनिटर का उपयोग करके इस प्रक्रिया को मार दिया लेकिन यह एक घंटे बाद वापस आया।

  • यह प्रक्रिया क्या है और यह वास्तव में क्या करती है?
  • क्या इसे बंद करने और स्मृति को हॉगिंग से रोकने का कोई तरीका है?
macos  memory  cpu 
फ़राबी अब्देलवाहीद
स्रोत
1
यह Apple मालवेयर रिमूवल टूल (/System/Library/CoreServices/MRT.app/) से है। 10.14 बीटा 2 में देखें - YaraScanService क्या करता है? । देखें कि मैं ऑर्सेक्स से यार्सकन कैसे निकालूं? और MRT ऐप क्या है? । यह Mojave अद्यतन का एक परिणाम है और अंततः स्कैन करना बंद कर देना चाहिए। यदि आप Apple की सुरक्षा सुविधाओं पर भरोसा करते हैं, तो MRT.app को न निकालें।
user187561
user187561
क्या इसके राम उपयोग को सीमित करने के लिए दूर है? या यह बीटा संस्करण का उपयोग करने का खर्च है
फ़राबी अब्देलवाहीड

जवाबों:

17

MRT / YaraScan एक MacOS प्रचलित एंटीवायरस-कॉपीराइट टूल है। मूल रूप से यह अश्लील स्मृति उपयोग का कारण है कि OSX में औपचारिक 'एंटीवायरस' क्यों नहीं है।

अधिक सरल रूप से, यारास्कैन यहां 'अस्थिरता सूट' का एक हिस्सा है; https://www.volatilityfoundation.org/about

महसूस करें कि एक वायरस और अवैध रूप से पायरेटेड सामग्री दोनों का पता केवल कोड रास्तों के एक 'हस्ताक्षर' द्वारा लगाया जाता है और दोनों अक्सर बग, शोषण और कमजोर पैचिंग पर निर्भर होते हैं, इसलिए यह केवल यह उम्मीद की जानी चाहिए कि एक कॉपीराइट से मजबूत आधुनिक एंटीवायरस विकसित किया गया था उल्लंघन का पता लगाने के उपकरण।

Mojave अपडेट के बाद YaraScan एक बार चलता है, और फिर खुद को हटा देता है। यह MRT के भीतर कुछ MacOS सिस्टम पर बने रहने के लिए भी देखा गया है। इसका कारण यह बहुत अधिक मेमोरी का उपयोग करता है क्योंकि जब तक अन्यथा प्रोग्राम नहीं किया जाता है (जैसा कि यह एक ऑप्ट-आउट है), एक ऐसी प्रक्रिया जिसे अज्ञात आकार की फ़ाइल के लिए बड़ी मात्रा में फ़ाइलों को स्कैन करना पड़ता है जो कि कहा जा सकता है कि खोज की गई फ़ाइलों का एक बड़ा उपयोग करेगा। निष्क्रिय मेमोरी की मात्रा सीमित समय के लिए सभी डिक्रिप्टेड स्कैन की गई फ़ाइलों को बचाने के लिए, जिनकी उन्हें फिर से आवश्यकता होती है। क्यूं कर? क्योंकि खाली RAM व्यर्थ है RAM, मेरा मतलब है कि आपको अभी भी इसे वाट्स देना है इसलिए जब कुछ और नहीं होना है तो उस पर सामान क्यों हटाएं? इसे वापस लाने में 100 गुना अधिक समय लगता है।

इससे भी महत्वपूर्ण बात, यदि आप फ़ाइलवाइट या एपीएफएस, उस डेटा के सभी को एन्क्रिप्ट किया गया है और इसे पढ़ने के लिए डिक्रिप्ट किया जाना चाहिए। कई ऐप्स को वास्तव में लॉन्च करने की आवश्यकता होती है और तब स्कैनिंग की जाती है जब उन्हें लोड किया जाता है क्योंकि कई फाइलें एक साथ 'सिंगल समवर्ती फ़ाइल' के रूप में मेमोरी स्पेस में खतरा बन सकती हैं। वायरस को पूरी तरह से असंबंधित ऐप के लिए डायलिब में आंशिक रूप से संग्रहीत किया जा सकता है।

ग्रांड सेंट्रल डिस्पैच द्वारा आपके मैक में समय की मात्रा को सक्रिय रूप से तय किया जाता है और जैसे ही आप एक प्रोग्राम का उपयोग करने का प्रयास करते हैं, जिसे उस तार्किक रैम की आवश्यकता होती है, इसे साफ करने का प्रयास करेंगे। ध्यान दें कि इस मामले में वर्चुअल मेमोरी बड़ी होनी चाहिए, क्योंकि डिक्रिप्टेड सामान को तब तक बेहतर तरीके से संग्रहीत किया जाता है जब तक कि आप सृजन से सचमुच दूर नहीं हो जाते हैं जब तक कि सृजन के तुरंत बाद एक माध्यमिक पास पर हटा दिया जाता है।

यह SSDs की उम्र में जवाबदेही पर ड्राइव जीवन को अधिकतम करने के लिए नया व्यवहार है। वर्तमान जीसीडी व्यवहार से पता चलता है कि मंदी तेजी से डिक्रिप्टेड डेटा बनाने वाले तेजी से सीपीयू से होती है, यह रैम और एसएसडी / एचडीडी के लिए प्रतीक्षा करने के लिए रैम और अन्य अनुरोधों को लिखा जा सकता है।

user1901982
स्रोत
10
तो Apple उनकी जानकारी के बिना लोगों के भंडारण पर स्नूपिंग कर रहा है? यह फ्रंट-पेज समाचार ए-ला सोनी डीआरएम-गेट कैसे नहीं है?
dhchdhd
4
YaraScan runs once after Mojave update, and then deletes itself. यह कर्नेल आतंक के बाद मेरे लिए चल रहा है, इसलिए मुझे लगता है कि सिस्टम इसे रिकवरी ड्राइव से आवश्यकतानुसार लोड करता है। सिर्फ आपकी जानकारी के लिए।
शेल्टन
1
यह जानना अच्छा है कि यह एक बार चलने वाला सौदा है। मैं सिर्फ मुद्दों की एक श्रृंखला के बाद अपने OS को ताज़ा करता हूं और फिर एक अपरिचित वायरस से संबंधित कार्यक्रम को देखकर परेशान हो रहा था।
डैन लोफनी
7
यह निश्चित रूप से मेरे मशीन पर चलने के बाद खुद को नहीं हटाता था। चरम पर, गतिविधि की निगरानी ने इसे 80.50 जीबी रैम (मेरे बॉक्स में 32 जीबी भौतिक रैम) का उपयोग करके दिखाया। मैंने इसे तब तक चलने दिया जब तक प्रक्रिया गायब नहीं हो गई। निष्पादन योग्य अभी भी मौजूद है /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc। यह macOS 10.13.6 पर है।
pjv
1
YaraScan अब XProtect / MRT / Gatekeeper का हिस्सा है। MRT सचमुच मालवेयर रिमूवल टूल है। 10.13 से पहले मेरा मानना ​​है कि यह इंस्टॉलर में है, लेकिन मैं एक ही सिस्टम पर हूं और इसमें मौजूद नहीं है। मैं इसे प्रतिबिंबित करने के लिए इस उत्तर को अपडेट करूंगा। बड़े रैम उपयोग के लिए, कृपया ध्यान में रखें कि यह वर्चुअल मेमोरी है, एकेए एक्स आकार की डिस्क पर एक फाइल (उस फाइल के बोनस के साथ जो हमेशा बंद रहती है)। यह इस तथ्य के कारण रैम से बहुत बड़ा होगा कि एमआरटी डिक्रिप्टेड बाइट्स को स्टोर करने के लिए बहुत अधिक रैम का उपयोग नहीं करेगा, बस इसे डिस्क पर डंप करें जब तक आप अंतरिक्ष से बाहर नहीं भागते हैं तब हटाने के बारे में चिंता करें।
user1901982
7

यह 10.13.6 (17G65) पर भी चल रहा है।

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

लगता है कि https://github.com/virustotal/yara

/apple/296339/mrt-process-using-large-unbounded-amount-of-memory

dhchdhd
स्रोत
3
वास्तव में। जो मैं बता सकता हूं कि यारास्कैन सर्विस एमआरटी का केवल एक हिस्सा है, और कम से कम 10.13.6 एमआरटी हर रिबूट के बाद लगता है। यह हमेशा यारास्कैन सर्विस को स्वयं के हिस्से में नहीं चला सकता है, लेकिन मेरे अनुभव में यह करता है।
ग्रेग ए। वुड्स
4
पुराने मैक के अप्रचलन को बढ़ाने का इतना बढ़िया तरीका ... मुझे: "मेरा मैक यारा की वजह से धीमा है!" Apple: "तो आप वायरस चाहते हैं? बेहतर अपने मैक को अपग्रेड करें"
w00t
2
मैंने इसे हटाकर समाप्त कर दिया क्योंकि मैंने कभी भी अविश्वासित कोड नहीं चलाया। Apple उन्हें प्रभावित करने का एक आसान तरीका प्रदान किए बिना प्रदर्शन-प्रभावित करने वाली सुविधाएँ जोड़ रहा है (उदाहरण के लिए एक नई सुरक्षा prefpane फ़ील्ड द्वारा प्रबंधित plist सेटिंग) थोड़ा अनचाहा लगता है।
dhchdhd
2

यह वास्तव में आपकी रैम की खपत नहीं करता है। यह संभव है कि उन फ़ाइलों को पढ़ते समय मेमोरी मैप्ड I / O का उपयोग किया जाता है, लेकिन इसका मतलब केवल यह है कि फ़ाइल सामग्री को वर्चुअल मेमोरी स्पेस में मैप किया जाता है, इसका वास्तव में मतलब नहीं है कि भौतिक मेमोरी का उपयोग किया जाता है। वास्तविक उपयोग के लिए आपको "एक्टिविटी मॉनिटर में वास्तविक मेमोरी साइज़" देखना होगा।

मैट के।
स्रोत
1
वास्तव में यह RAM का उपयोग करता है (और मेमोरी मैप्ड I / O भी RAM का उपयोग करता है - यही संपूर्ण विचार है!), जिसके कारण पहले से उपयोग की गई RAM संपीड़ित होती है और / या स्वैप करने के लिए बाहर धकेल दी जाती है, इस प्रकार सिस्टम की प्रयोज्यता को और बढ़ा देता है यह चलता है
ग्रेग ए। वुड्स
यह नहीं है कि स्मृति मैप की गई फ़ाइल I / O कैसे काम करती है। यह सिर्फ फ़ाइल को मेमोरी एड्रेस स्पेस में मैप करता है, यह वास्तव में इसके लिए कोई मेमोरी आवंटित नहीं करता है। 64 बिट प्लेटफ़ॉर्म पर पता स्थान 2 ^ 64 बड़ा है (सिद्धांत में, प्लेटफ़ॉर्म के आधार पर कुछ बिट्स का विशेष उद्देश्य हो सकता है), जो कि भौतिक स्मृति की क्षमता से परे है।
मैट के।
1
मेमोरी-मैप्ड I / O सबसे निश्चित रूप से भौतिक मेमोरी को "आवंटित" करता है - और इस प्रकार यह मेमोरी "दबाव" का कारण बनता है, जिससे कर्नेल को संपीड़ित करने और / या पृष्ठ-आउट करने के लिए मजबूर किया जाता है अन्यथा सक्रिय मेमोरी अभी भी अन्य उद्देश्यों के लिए उपयोग की जाती है। यदि आप वास्तविक भौतिक मेमोरी में कहीं विशिष्ट नहीं हैं, तो आप इसे मेमोरी में नहीं डाल सकते हैं। वर्चुअल मेमोरी एड्रेस स्पेस को भौतिक मेमोरी में सीधे मैप किया जाता है, जब भी कोई प्रक्रिया किसी भी तरह से इसे एक्सेस करती है, भले ही वह विशेष क्षेत्र सेकेंडरी स्टोरेज द्वारा समर्थित हो जैसा कि मेमोरी-मैप I / O में है।
ग्रेग ए। वुड्स
बेशक मेमोरी मैप की गई फ़ाइलों को भौतिक मेमोरी के माध्यम से एक्सेस किया जाता है, लेकिन उन ब्लॉकों को कैश की तरह माना जाता है और वे सबसे पहले मेमोरी प्रेशर के तहत जाते हैं। कोई भी साने ऑपरेटिंग सिस्टम पेजिंग कार्यान्वयन महत्वपूर्ण मेमोरी को संक्षिप्त नहीं कर सकता या स्वैप नहीं कर सकता है, जबकि महत्वपूर्ण मात्रा में एमएमएपीड पृष्ठों को रखता है। इस मामले में मेरे कंप्यूटर पर YaraScanService ने 20 से अधिक गीगाबाइट मैप किए थे, लेकिन केवल 300MB भौतिक मेमोरी का उपयोग किया। मूल रूप से यह दावा करते हुए कि मेमोरी मैप्ड फ़ाइल I / O का कारण मेमोरी प्रेशर होता है, जैसा कि डिस्क कैशे का दावा है कि स्वैपिंग और मेमोरी प्रेशर का कारण बनता है।
मैट के।
1
मेमोरी मैप्ड I / O को समकक्ष बफर कैश की तुलना में बहुत अधिक भौतिक मेमोरी की आवश्यकता होती है, खासकर कुछ एक्सेस पैटर्न के साथ। यदि आप मेमोरी प्रेशर की मात्रा (गतिविधि मॉनीटर "मेमोरी" टैब में ग्राफ) में देखते हैं, और संपीड़ित मेमोरी और / या स्वैप उपयोग की वृद्धि होती है जबकि यारास्कैन सर्विस किसी बड़े और पूर्ण फाइलसिस्टम और बहुत से अन्य के साथ किसी भी मशीन पर चलती है चल रही बड़ी प्रक्रियाओं में आप देखेंगे कि यह इस हद तक विघटन की गंभीर मात्रा का कारण बनता है कि यह कभी-कभी थ्रेशिंग का कारण बनता है। यहां तक ​​कि जब Chrome मेमोरी को लीक करता है और बड़ा होता है, तो यह लगभग YSS जैसे सूअर नहीं होता है।
ग्रेग ए। वुड्स
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.