macOS Mojave Beta (10.14) 和 macOS High Sierra (10.13.6) 中出现的“YaraScanService”是什么？

MRT/YaraScan 是 MacOS 提供的防病毒版权工具。其内存占用率如此之高，基本上就是 OSX 没有正式“防病毒”的原因。

更简单地说，YaraScan 是此处“波动性套件”的一部分；https://www.volatilityfoundation.org/about

请注意，病毒和非法盗版材料都只能通过“签名”代码路径集检测到，并且都经常依赖于错误、漏洞和弱补丁，因此可以预料，最强大的现代防病毒软件是从版权侵权检测工具发展而来的。

YaraScan 在 Mojave 更新后运行一次，然后自行删除。据发现，它还会在 MRT 中的某些 MacOS 系统上持续存在。它之所以占用如此多的内存，是因为除非另有编程（如选择退出），否则必须扫描大量文件以查找可能加密到所述搜索文件中的未知大小文件的进程将使用大量非活动内存来保存所有解密的扫描文件一段时间，以防再次需要它们。为什么？因为空 RAM 是浪费的 RAM，我的意思是你仍然需要给它提供电力，所以当其他东西不想留在那里时，为什么要删除上面的东西呢？恢复它需要 100 倍的时间。

更重要的是，如果你使用 Filevault 或 APFS，全部这些数据是加密的，必须解密才能读取。许多应用程序实际上需要启动，然后在加载时进行扫描，因为许多文件可以聚集在一起，作为单个“并发文件”在内存空间中形成威胁。病毒可以部分存储在完全不相关的应用程序的 dylib 中。

时间量由 Mac 中的 Grand Central Dispatch 主动决定，只要您尝试使用需要该逻辑 RAM 的程序，它就会尝试清除它。请注意，在这种情况下虚拟内存应该很大，因为所有解密的内容最好都存储在那里，直到您真的没有空间为止，而不是在创建后不久在二次传递中反复删除。

这是 SSD 时代的新行为，旨在最大程度延长驱动器寿命，而不是提高响应速度。当前的 GCD 行为表明，速度变慢是由于快速 CPU 创建解密数据的速度比写入磁盘的速度快，而对 RAM 的其他请求必须等待 SSD/HDD 完成。

它也在 10.13.6 (17G65) 上运行。

1054  66.3  2.1 62395936 359328   ??  Us   11:48AM  10:39.14 /System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

看起来有可能https://github.com/virustotal/yara

https://apple.stackexchange.com/questions/296339/mrt-process-using-large-unbounded-amount-of-memory

它实际上不会消耗您的 RAM。它在读取这些文件时可能会使用内存映射 I/O，但这仅意味着文件内容被映射到虚拟内存空间，并不意味着实际使用了物理内存。对于实际使用情况，您需要查看“活动监视器中的实际内存大小”。

“我曾经使用过 10.13.6（我只能使用硬件）和 yarascanservice 的噩梦（每次启动后不久，使用 Automator 编写脚本‘强制退出’服务），我还遇到了无法安装安全更新的重大问题（破坏操作系统 - 经验丰富，感谢 Apple）。因此，我不得不避免任何自动更新的发生，并且可能过度修改了系统偏好设置。系统偏好设置/App Store - 在我失败的各种选项中，一个措辞不当的选项是：“安装系统数据文件和安全更新”我在 tidbits 上看到了一篇文章，解释了此选项的作用，建议启用它（https://tidbits.com/2016/03/30/make-sure-youre-getting-os-x-security-data/）。这似乎启用了 MRT（驱动 yarascanservice）的更新。尽管使用了笨拙的命名，但这不会导致主操作系统发生重大安全更新 - 只是低级更新（类似于在病毒应用程序中更新定义）。我已禁用此选项。启用它并强制系统运行这些更新后，我确认已下载新数据（请参阅上面的链接了解说明）。从那时起（4 天前），我就没见过 yarascanservice 运行。这可能是巧合，但我很好奇这是否解决了其他人的类似问题？“

---按照这个操作。对我有用。在“系统偏好设置”中的“App Store”下启用“自动检查更新”和“安装系统数据文件和安全更新”选项。2-3 天后我看不到 Yarascanservice。