Co to jest dllhost.exe i dlaczego to działa?

Szybkie przeglądanie Menedżera zadań w dowolnym systemie Windows ujawni proces znany jako dllhost.exe działający w tle. Jeśli to znalazłeś, prawdopodobnie chciałbyś wiedzieć, co robi i jego opis „COM Surrogate” i czy jest to bezpieczny proces, który działa na twoim komputerze. Dobrą rzeczą do rozważenia jest to, że ma tam być. Jest to proces stworzony przez Microsoft i zawarty w każdej wersji systemu operacyjnego Windows.

Istnieje niewielka szansa, że ​​dllhost.exe może zostać zainfekowany wirusem. Jeśli jednak Twój komputer ma wszystkie najnowsze poprawki zabezpieczeń z witryny Windows Update i masz zainstalowany program antywirusowy, taki jak Microsoft Security Essentials , jest bardzo mało prawdopodobne, że wystąpią jakiekolwiek problemy z infekcją.

Co to jest COM+?

Aby zrozumieć, co robi dllhost.exe, musisz zrozumieć, czym jest usługa COM+. COM+ jest skrótem od Component Object Model . Podczas wyciągania procesu/usługi w Process Explorer nie ujawnia się wiele. Opis procesu brzmi:

Manages the configuration and tracking of Component Object Model (COM)+-based components. If the service is stopped, most COM+-based components will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Aby naprawdę zagłębić się w ten proces, musimy zajrzeć do biblioteki Microsoft Dev Center . I pokazuje, że COM+ jest przydatny przede wszystkim w następujących sytuacjach:

• Wdrażanie aplikacji klasy korporacyjnej w całej sieci.
• Dostarczanie istniejących składników do tworzenia aplikacji, ponieważ COM+ jest uważany za architekturę programowania zorientowaną obiektowo.
• Uruchamianie rejestru zdarzeń, który obsługuje żądania systemowe, zwiększa bezpieczeństwo, wyzwala uchwyty procesów i tworzy kolejki żądań usług dla aplikacji.

COM+ składa się z komponentów bloków konstrukcyjnych, które same się definiują i dobrze współpracują z innymi. Przydatność w tym zakresie wynika z projektowania komponentów udostępnianych i ponownie używanych przez wiele aplikacji. Ten projekt nie tylko zmniejsza zapotrzebowanie na zasoby systemowe, ale także poprawia szybkość inicjalizacji. Modele obiektowe komponentów nie są napisane w żadnym konkretnym języku programowania, jednak istnieją osobne klasy dla każdego z nich, w zależności od zamierzonego języka programowania. Na poziomie przedsiębiorstwa zapewnia to zaletę masowego wdrażania za pomocą narzędzia graficznego stworzonego przez firmę Microsoft o nazwie DCOM .

Dllhost.exe to host dla plików DLL i binarnych plików wykonywalnych.

DLL (biblioteka dołączana dynamicznie) jest zasadniczo blokiem kodu, który nie jest określony rozmiarem, przechowywany w jednym pliku. Ten kod może być składem aplikacji, usługi lub po prostu dodatkiem do graficznego interfejsu użytkownika. Dllhost.exe, podobnie jak svchost.exe , jest wymaganą usługą systemu Windows dla dowolnego kodu programowania zorientowanego na COM+. Poniżej przedstawiono przykład działania narzędzia dllhost.exe przy użyciu Monitora procesów, który obejmuje zarówno typy plików .dll, jak i .exe.

Zagrożenia

Dllhost.exe jest zazwyczaj bezpieczny, o ile komputer jest zaktualizowany pod kątem wszystkich poprawek zabezpieczeń i zainstalowany jest niezawodny program antywirusowy. Jeśli zobaczysz go w następujących miejscach, jesteś bezpieczny:

• Oficjalna lokalizacja katalogu dla tego procesu to C:\Windows\System32\dllhost.exe
• Dllhst3g jest również prawidłowym procesem Windows przechowywanym w tym samym folderze System32.

Jeśli plik dllhost.exe pojawi się gdziekolwiek indziej, prawdopodobnie jest to wirus. Niektóre wirusy-robaki naśladują nazwę dllhost i przechowują się w folderze System32. Oto kilka przykładów:

• Worm/Loveelet-Y przechowuje się w /Windows/System32/ jako dllhost.com
• Worm/Loveelet-DR przechowuje się w /Windows/System32/ jako dllhost.dll

Wysokie użycie procesora

Jedną z możliwych luk bezpieczeństwa w projekcie systemu COM+ jest to, że pozwala on na działanie dowolnej biblioteki DLL przechowywanej w systemie, zakładając, że wyzwalacz inicjujący go ma wymagane uprawnienia. Oznacza to, że gdy widzisz wysokie użycie procesora przez dllhost.exe, prawdopodobnie nie jest to proces hosta, ale raczej załadowana biblioteka DLL działająca przez hosta. Możesz użyć programu, takiego jak Process Explorer , aby dokładniej zbadać.

Streszczenie

Dllhost.exe to bezpieczny proces systemu Windows stworzony przez firmę Microsoft. Służy do uruchamiania innych aplikacji i usług. Powinien pozostać uruchomiony, ponieważ ma krytyczne znaczenie dla kilku zasobów systemowych.

Bibliografia:

• COM+ (Usługi składowe)

• Co to jest COM?