Risposta originariamente pubblicata da user1901982 in Super User - Che cos'è" YaraScanService "che appare in macOS Mojave Beta (10.14) e macOS High Sierra (10.13.6)?
Copiato qui per comodità, come wiki della comunità.
MRT / YaraScan è uno strumento antivirus protetto da copyright di MacOS. La ragione del suo osceno utilizzo della memoria è fondamentalmente il motivo per cui OSX non ha un "antivirus" formale.
Più semplicemente, YaraScan è una parte della "suite di volatilità" qui; link
Ti rendi conto che un virus e materiale illegalmente piratato sono entrambi rilevati solo da un insieme di percorsi di codice "firma" ed entrambi dipendono spesso da bug, exploit e patching deboli, quindi è normale che il più strong antivirus moderno sia cresciuto da uno strumento di rilevamento delle violazioni del copyright.
YaraScan viene eseguito una volta dopo l'aggiornamento di Mojave e quindi si elimina automaticamente. La ragione per cui usa così tanta memoria è perché, se non diversamente programmato (come nel caso di un opt-out), un processo che deve eseguire la scansione di una quantità incredibile di contenuti per un file di dimensioni sconosciute che potrebbe essere crittografato in tali file verrà utilizzato una grande quantità di memoria inattiva per archiviare tutti i file scansionati per un periodo di tempo limitato nel caso in cui siano necessari di nuovo. Perché? Poiché la RAM vuota è sprecata RAM, voglio dire che devi ancora dargli watt, quindi perché eliminare le cose su di esso quando qualcos'altro non vuole essere lì? Richiede 100 volte più tempo per riaverlo.
Ancora più importante, se si utilizza Filevault o APFS, alcuni di questi dati vengono crittografati e devono essere decodificati per essere letti. Molte app in realtà hanno bisogno di essere lanciate e quindi di essere sottoposte a scansione quando vengono caricate, poiché molti file possono riunirsi in una minaccia nello spazio di memoria come un unico "file concorrente". L'antivirus standard non è stato in grado di rilevarlo finché l'applicazione non era già in esecuzione e in quel momento avrebbe potuto danneggiare il sistema.
La quantità di tempo viene decisa attivamente da Grand Central Dispatch nel tuo Mac e non appena tenti di utilizzare un programma che ha bisogno di quella RAM lo cancellerà.