Why some Mac apps launch slowly: A follow-up
a year ago
- #macOS
- #syspolicyd
- #app-launch
- 应用启动缓慢是由`syspolicyd`进程引起,具体来说是`DispatchQueue 'com.apple.security.syspolicy.yara'`队列导致
- Howard Oakley驳斥了恶意软件扫描理论,指出XProtect的Yara规则存在文件大小限制且日志缺乏Yara扫描记录
- Spindump数据显示`syspolicyd`在加载动态库时通过`dlopen`函数调用触发恶意软件检查
- Oakley提出替代理论:应用框架文件的SHA-256哈希计算导致延迟,认为缓存未命中是主因
- 本文作者质疑Oakley的哈希缓存理论,指出缺乏实证依据,并质疑此类缓存的实际效用
- 通用二进制文件使性能测量复杂化,因安全检查可能仅针对当前运行的架构而非整个文件体积
- 作者总结认为Oakley的观察结果与其早期发现一致,但未提出新的实质性证据