MRT / YaraScan to narzędzie antywirusowe chronione prawami autorskimi MacOS. Przyczyną tego nieprzyzwoitego użycia pamięci jest w zasadzie to, dlaczego OSX nie ma formalnego „antywirusa”.
Mówiąc prościej, YaraScan jest tutaj częścią „pakietu zmienności”; https://www.volatilityfoundation.org/about
Zdaj sobie sprawę, że zarówno wirus, jak i nielegalnie piracki materiał są wykrywane tylko przez „podpisowy” zestaw ścieżek kodu i oba często polegają na błędach, exploitach i słabych łatkach, więc należy się spodziewać, że najsilniejszy współczesny program antywirusowy wyrósł z praw autorskich narzędzie do wykrywania naruszeń.
YaraScan uruchamia się raz po aktualizacji Mojave, a następnie usuwa się. Widać również, że utrzymuje się na niektórych systemach MacOS w MRT. Powodem, dla którego wykorzystuje tak dużo pamięci, jest to, że jeśli nie zostanie to inaczej zaprogramowane (jak w przypadku rezygnacji), proces, który musi przeskanować dużą liczbę plików w poszukiwaniu pliku o nieznanej wielkości, który może być zaszyfrowany w wymienionych wyszukiwanych plikach, użyje dużego ilość nieaktywnej pamięci, aby zapisać wszystkie odszyfrowane zeskanowane pliki przez ograniczony czas, ponieważ są one ponownie potrzebne. Czemu? Ponieważ pusta pamięć RAM jest zmarnowaną pamięcią RAM, mam na myśli, że nadal musisz dać jej waty, więc po co usuwać z niej rzeczy, gdy coś innego nie chce tam być? Odzyskanie go zajmuje 100 razy dłużej.
Co ważniejsze, jeśli korzystasz z Filevault lub APFS, WSZYSTKIE te dane są szyfrowane i muszą zostać odszyfrowane, aby można je było odczytać. Wiele aplikacji faktycznie wymaga uruchomienia, a następnie skanowania po załadowaniu, ponieważ wiele plików może się łączyć, tworząc zagrożenie w przestrzeni pamięci jako pojedynczy „plik współbieżny”. Wirusy mogą być częściowo przechowywane w dylib dla całkowicie niepowiązanej aplikacji.
Ilość czasu jest aktywnie ustalana przez Grand Central Dispatch na twoim Macu i jak tylko spróbujesz użyć programu, który potrzebuje tej logicznej pamięci RAM, spróbuje go wyczyścić. Należy pamiętać, że pamięć wirtualna w tym przypadku powinna być duża, ponieważ wszystkie odszyfrowane elementy są tam lepiej przechowywane, dopóki dosłownie zabraknie miejsca niż skasowane przy drugim przejściu wkrótce po wielokrotnym utworzeniu.
Jest to nowe zachowanie w dobie dysków SSD, aby zmaksymalizować żywotność dysku ponad czas reakcji. Obecne zachowanie GCD sugeruje, że spowolnienia wynikają z szybkiego procesora, który tworzy odszyfrowane dane szybciej niż można je zapisać na dysk, a inne żądania do RAM muszą czekać na zakończenie SSD / HDD.