Windows hat viele Prozesse im Hintergrund laufen. Dieses Mal schauen wir uns dllhost an.exe, um seine Funktionen und Risiken abzudecken.
Eine schnelle Durchsicht des Task-Managers auf einem beliebigen Windows-System zeigt einen Prozess an, der als dllhost bekannt ist.exe läuft im Hintergrund. Wenn Sie das gefunden haben, möchten Sie wahrscheinlich wissen, was es und seine Beschreibung von „COM Surrogate“ tun und ob es ein sicherer Prozess ist, der auf Ihrem Computer ausgeführt wird. Das Gute daran ist, dass es dort sein soll. Dies ist ein von Microsoft erstellter Prozess, der in jeder Version des Windows-Betriebssystems enthalten ist.
Es gibt eine kleine Chance, dass dllhost.exe könnte von einem Virus infiziert werden. Wenn Ihr Computer jedoch mit den neuesten Sicherheitspatches von Windows Update auf dem neuesten Stand ist und Sie ein Antivirenprogramm wie Microsoft Security Essentials installiert haben, ist es sehr unwahrscheinlich, dass Sie Probleme mit der Infektion haben.
Was ist COM+?
Um zu verstehen, was dllhost.exe tut, müssen Sie verstehen, was der COM + -Dienst ist. COM+ steht für Component Object Model. Wenn Sie den Prozess / Dienst im Process Explorer aufrufen, wird nicht viel angezeigt. Die Beschreibung für den Prozess lautet:
Verwaltet die Konfiguration und Verfolgung von COM+-basierten Komponenten (Component Object Model). Wenn der Dienst beendet wird, funktionieren die meisten COM +-basierten Komponenten nicht ordnungsgemäß. Wenn dieser Dienst deaktiviert ist, können alle Dienste, die explizit davon abhängen, nicht gestartet werden.
Um wirklich in den Prozess einzutauchen, müssen wir uns die Microsoft Dev Center-Bibliothek ansehen. Und es zeigt, dass COM + in erster Linie für Folgendes nützlich ist:
- Bereitstellen von Anwendungen auf Unternehmensebene für ein gesamtes Netzwerk.
- Bereitstellung bereits vorhandener Komponenten für die Anwendungsentwicklung, da COM + als objektorientierte Programmierarchitektur betrachtet wird.
- Ausführen einer Ereignisregistrierung, die Systemanforderungen verarbeitet, die Sicherheit erhöht, Prozesshandles auslöst und Serviceanforderungswarteschlangen für Anwendungen erstellt.
COM + besteht aus Bausteinkomponenten, die sich selbst definieren und gut mit anderen spielen. Der Nutzen liegt darin, dass Komponenten von mehreren Anwendungen gemeinsam genutzt und wiederverwendet werden. Dieses Design senkt nicht nur den Bedarf an Systemressourcen, sondern verbessert auch die Initialisierungsgeschwindigkeit. Die Komponentenobjektmodelle sind nicht in einer bestimmten Programmiersprache geschrieben, es gibt jedoch für jede Klasse separate Klassen, abhängig von der beabsichtigten Programmiersprache. Auf Unternehmensebene bietet dies den Vorteil der Massenbereitstellung mit einem von Microsoft erstellten GUI-Tool namens DCOM.
Dllhost.exe ist ein Host für DLL-Dateien und ausführbare Binärdateien.
Eine DLL (Dynamic Link Library) ist im Wesentlichen ein größenunspezifischer Codeblock, der in einer einzigen Datei gespeichert ist. Dieser Code kann die Zusammensetzung einer Anwendung, eines Dienstes oder nur eines Add-Ons für eine grafische Benutzeroberfläche sein. Dllhost.exe, ähnlich wie svchost.exe ist ein erforderlicher Windows-Dienst für jeden COM + -orientierten Programmiercode. Eine Probe von dem, was dllhost.exe läuft wird unten mit Process Monitor, die beide enthält gezeigt.dll und .exe-Dateitypen.
Risiken
Dllhost.exe ist normalerweise sicher, solange der Computer über alle Sicherheitspatches auf dem neuesten Stand ist und ein zuverlässiges Antivirenprogramm installiert ist. Wenn Sie es an folgenden Orten sehen, sind Sie in Sicherheit:
- Der offizielle Verzeichnisspeicherort für diesen Prozess ist C:\Windows\System32\dllhost.exe
- Dllhst3g ist auch ein gültiger Windows-Prozess, der im selben System32-Ordner gespeichert ist.
Wenn dllhost.exe erscheint irgendwo anders, es ist wahrscheinlich ein Virus. Einige Wurmviren ahmen den Namen von dllhost nach und speichern sich im Ordner System32. Hier einige Beispiele:
- Worm/Loveelet-Y speichert sich in /Windows/System32/ als dllhost.com
- Worm/Loveelet-DR speichert sich in /Windows/System32/ als dllhost.dll
Hohe CPU-Auslastung
Eine mögliche Sicherheitslücke im Design des COM + -Systems besteht darin, dass jede auf dem System gespeicherte DLL ausgeführt werden kann, vorausgesetzt, der Auslöser initiiert die erforderlichen Berechtigungen. Dies bedeutet, dass, wenn Sie eine hohe CPU-Auslastung für dllhost sehen.exe Es ist wahrscheinlich nicht der Host-Prozess, der das Problem verursacht, sondern eine geladene DLL, die durch den Host läuft. Sie können ein Programm wie Process Explorer verwenden, um weitere Untersuchungen durchzuführen.