System Windows ma wiele procesów działających w tle. Tym razem przyjrzymy się dllhost.exe na pokrycie swoich funkcji i ryzyka.
szybkie przejrzenie Menedżera zadań w dowolnym systemie Windows ujawni proces znany jako dllhost.exe działa w tle. Jeśli znalazłeś, że, prawdopodobnie chcesz wiedzieć, co to i jego opis „COM Surogate” robią i czy jest to Bezpieczny proces mieć uruchomiony na komputerze. Dobrą rzeczą do rozważenia jest to, że powinien tam być. Jest to proces stworzony przez firmę Microsoft i jest pakowany w każdej wersji systemu operacyjnego Windows.
istnieje niewielka szansa, że dllhost.exe może zarazić się wirusem. Jeśli jednak komputer jest na bieżąco ze wszystkimi najnowszymi łatami zabezpieczeń z usługi Windows Update i masz zainstalowany program antywirusowy, taki jak Microsoft Security Essentials, jest bardzo mało prawdopodobne, że będziesz mieć problemy z infekcją.
co to jest COM+?
aby zrozumieć, co dllhost.exe robi, musisz zrozumieć, co to jest usługa COM+. COM+ jest skrótem od Component Object Model. Podczas wyciągania procesu / usługi w Eksploratorze procesów nie ujawnia wiele. Opis procesu brzmi:
zarządza konfiguracją i śledzeniem komponentów opartych na Component Object Model (COM)+. Jeśli usługa zostanie zatrzymana, większość komponentów opartych na COM+NIE będzie działać poprawnie. Jeśli ta usługa jest wyłączona, wszelkie usługi, które wyraźnie od niej zależą, nie zostaną uruchomione.
aby naprawdę zagłębić się w proces, będziemy musieli spojrzeć na bibliotekę Microsoft Dev Center. I ujawnia, że COM+ jest przede wszystkim przydatny do następujących:
- wdrażanie aplikacji na poziomie przedsiębiorstwa dla całej sieci.
- dostarczanie wcześniej istniejących komponentów do tworzenia aplikacji, ponieważ COM+ jest uważany za obiektową architekturę programowania.
- uruchamianie rejestru zdarzeń, który obsługuje żądania systemowe, zwiększa bezpieczeństwo, uruchamia obsługę procesów i tworzy kolejki żądań usług dla aplikacji.
COM+ składa się z elementów składowych, które są samookreślające się i dobrze grają z innymi. Użyteczność w tym zakresie wynika z projektowania komponentów, które są współdzielone i ponownie wykorzystywane przez wiele aplikacji. Ta konstrukcja nie tylko zmniejsza zapotrzebowanie na zasoby systemowe, ale także poprawia szybkość inicjalizacji. Modele obiektowe komponentów nie są napisane w żadnym konkretnym języku programowania, jednak istnieją oddzielne klasy dla każdej z nich w zależności od zamierzonego języka programowania. Na poziomie przedsiębiorstwa zapewnia to zaletę masowego wdrażania za pomocą narzędzia GUI stworzonego przez Microsoft o nazwie DCOM.
Dllhost.exe jest hostem dla plików DLL i binarnych plików wykonywalnych.
DLL (dynamic link library) to zasadniczo nieokreślony rozmiar bloku kodu przechowywanego w jednym pliku. Ten kod może być składnikiem aplikacji, usługi lub po prostu dodatkiem do graficznego interfejsu użytkownika. Dllhost.exe, podobny do svchost.exe, jest wymaganą usługą Windows dla dowolnego kodu programowania zorientowanego na COM+. Próbka tego, co dllhost.exe działa jest pokazany poniżej za pomocą Monitora procesu, który zawiera oba .dll i .typy plików exe.
ryzyko
Dllhost.exe jest zwykle Bezpieczny, o ile komputer jest na bieżąco na wszystkich łatach zabezpieczeń i niezawodny program antywirusowy jest zainstalowany. Jeśli widzisz go w następujących miejscach, jesteś bezpieczny:
- oficjalną lokalizacją katalogu dla tego procesu jest C:\Windows\System32\dllhost.exe
- Dllhst3g jest również prawidłowym procesem systemu Windows przechowywanym w tym samym folderze System32.
jeśli dllhost.exe pojawia się gdziekolwiek indziej, prawdopodobnie jest to wirus. Niektóre wirusy robaków naśladują nazwę dllhost i przechowują się w folderze System32. Oto kilka przykładów:
- Worm/Love-y zapisuje się w / Windows / System32 / jako dllhost.com
- Worm/Loveelet-DR przechowuje się w /Windows/System32/ jako dllhost.dll
wysokie użycie procesora
jedną z możliwych luk bezpieczeństwa w konstrukcji systemu COM+ jest to, że pozwala on uruchomić dowolną bibliotekę DLL przechowywaną w systemie, zakładając, że wyzwalacz inicjujący go wymagane uprawnienia. Oznacza to, że gdy widzisz wysokie użycie procesora dla dllhost.exe prawdopodobnie nie jest to proces hosta powodujący problem, ale raczej załadowana biblioteka DLL działająca przez hosta. Możesz użyć programu, takiego jak Process Explorer, aby zbadać dalej.
