A Windows számos folyamat fut a háttérben. Ezúttal megnézzük a dllhost-ot.az exe fedezi funkcióit és kockázatait.
egy gyors áttanulmányozza a Feladatkezelő bármely Windows rendszer felfedi a folyamat néven dllhost.exe fut a háttérben. Ha megtalálta, akkor valószínűleg szeretné tudni, hogy mit és a “COM Surrogate” leírását, és hogy biztonságos-e a számítógépen futó folyamat. A jó dolog, hogy fontolja meg, hogy állítólag ott. Ez a Microsoft által létrehozott folyamat, amelyet a Windows operációs rendszer minden verziójába csomagolnak.
van egy kis esély arra, hogy a dllhost.az exe megfertőződhet egy vírussal. Ha azonban számítógépe naprakész a Windows Update legújabb biztonsági javításaival, és telepítve van egy víruskereső, például a Microsoft Security Essentials, akkor nagyon valószínűtlen, hogy bármilyen problémája lesz a fertőzéssel.
mi az A COM+?
ahhoz, hogy megértsük, mi dllhost.az exe megteszi, meg kell értenie, mi a COM+ szolgáltatás. A COM+ A Component Object Model rövidítése. Amikor felhúzza a folyamatot/szolgáltatást a Process Explorerben, az nem sokat tár fel. A folyamat leírása a következő:
kezeli a Component Object Model (COM)+-alapú összetevők konfigurálását és követését. Ha a szolgáltatás leáll, a legtöbb COM+-alapú összetevő nem fog megfelelően működni. Ha ez a szolgáltatás le van tiltva, minden olyan szolgáltatás, amely kifejezetten attól függ, nem indul el.
ahhoz, hogy valóban elmélyüljünk a folyamatban, meg kell néznünk a Microsoft Dev Center könyvtárát. Ebből kiderül, hogy a COM+ elsősorban a következők számára hasznos:
- vállalati szintű alkalmazások telepítése egy teljes hálózatra.
- már meglévő komponensek biztosítása az alkalmazásfejlesztéshez, mivel a COM+ objektumorientált programozási architektúrának tekinthető.
- Eseményregiszter futtatása, amely kezeli a rendszerkérelmeket, növeli a biztonságot, elindítja a folyamatkezelőket, és szolgáltatáskérési várólistákat hoz létre az alkalmazások számára.
a COM+ olyan építőelemekből áll, amelyek önmeghatározóak és jól játszanak másokkal. Ennek hasznossága a több alkalmazás által megosztott és újrafelhasznált komponensek tervezéséből származik. Ez a kialakítás nemcsak csökkenti a rendszererőforrások iránti igényt, hanem javítja az inicializálási sebességet is. A components objektummodellek nem íródnak semmilyen konkrét programozási nyelven, azonban mindegyikhez külön osztályok vannak, a tervezett programozási nyelvtől függően. Vállalati szinten ez biztosítja a tömeges telepítés előnyét a Microsoft által létrehozott, DCOM nevű GUI eszközzel.
Dllhost.az exe egy gazdagép DLL fájlokhoz és bináris futtatható fájlokhoz.
a DLL (dynamic link library) lényegében egy méretre nem specifikus kódblokk, amelyet egyetlen fájlban tárolnak. Ez a kód lehet egy alkalmazás, szolgáltatás vagy csak egy grafikus felhasználói felület kiegészítője. Dllhost.exe, hasonló az svchosthoz.exe, egy szükséges Windows szolgáltatás minden COM + orientált programozási kódot. A minta, amit dllhost.exe fut alább látható a Process Monitor, amely magában foglalja mind .dll és .exe fájltípusok.
kockázatok
Dllhost.az exe általában biztonságos mindaddig, amíg a számítógép naprakész az összes biztonsági javításon, és megbízható víruskereső van telepítve. Ha a következő helyeken látja, akkor biztonságban van:
- ennek a folyamatnak a hivatalos címtárhelye C:\Windows\System32\dllhost.exe
- Dllhst3g is érvényes Windows folyamat tárolt ugyanabban System32 mappát.
ha dllhost.az exe bárhol máshol jelenik meg, valószínűleg vírus. Néhány féregvírus utánozza a dllhost nevét, és tárolja magát a System32 mappában. Íme néhány példa:
- Worm / Loveelet-Y tárolja magát / Windows / System32 / mint dllhost.com
- Worm/Loveelet-DR tárolja magát a /Windows/System32/ mint dllhost.dll
magas CPU használat
a Com+ rendszer kialakításának egyik lehetséges biztonsági hibája az, hogy lehetővé teszi a rendszeren tárolt DLL futtatását, feltételezve, hogy a trigger kezdeményezi a szükséges engedélyeket. Ez azt jelenti, hogy ha magas CPU-használatot lát a dllhost számára.exe valószínűleg nem a gazdafolyamat okozza a problémát, hanem egy betöltött DLL fut át a gazdagépen. A további vizsgálathoz használhat egy olyan programot, mint a Process Explorer.