Что такое dllhost.exe и почему он запущен?

Быстрый просмотр через диспетчер задач в любой системе Windows покажет процесс, известный как dllhost.exe, работающий в фоновом режиме. Если вы обнаружили это, вы, вероятно, хотели бы знать, что делает он и его описание «COM Surrogate», и безопасно ли запускать этот процесс на вашем компьютере. Хорошо, что нужно учитывать, что он должен быть там. Это процесс, созданный Microsoft и встроенный в каждую версию операционной системы Windows.

Существует небольшая вероятность того, что dllhost.exe может быть заражен вирусом. Однако, если на вашем компьютере установлены все последние исправления безопасности из Центра обновления Windows и у вас установлен антивирус, такой как Microsoft Security Essentials , маловероятно, что у вас возникнут проблемы с заражением.

Что такое COM+?

Чтобы понять, что делает dllhost.exe, вам нужно понять, что такое служба COM+. COM + — это сокращение от Компонентная объектная модель . При извлечении процесса/службы в Process Explorer он мало что показывает. Описание процесса гласит:

Manages the configuration and tracking of Component Object Model (COM)+-based components. If the service is stopped, most COM+-based components will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Чтобы действительно вникнуть в то, что делает этот процесс, нам нужно взглянуть на библиотеку Microsoft Dev Center . И это показывает, что COM+ в первую очередь полезен для следующего:

• Развертывание приложений уровня предприятия для всей сети.
• Предоставление уже существующих компонентов для разработки приложений, поскольку COM+ считается архитектурой объектно-ориентированного программирования.
• Запуск реестра событий, который обрабатывает системные запросы, повышает безопасность, запускает дескрипторы процессов и создает очереди запросов на обслуживание для приложений.

COM+ состоит из компонентов стандартных блоков, которые определяют себя и хорошо взаимодействуют с другими. Полезность в этом заключается в том, что компоненты совместно используются и повторно используются несколькими приложениями. Такой дизайн не только снижает потребность в системных ресурсах, но и повышает скорость инициализации. Объектные модели компонентов не написаны на каком-либо конкретном языке программирования, однако для каждой из них существуют отдельные классы в зависимости от предполагаемого языка программирования. На уровне предприятия это дает преимущество массового развертывания с помощью инструмента с графическим интерфейсом, созданного Microsoft, под названием DCOM .

Dllhost.exe — это хост для DLL-файлов и двоичных исполняемых файлов.

DLL (библиотека динамической компоновки) — это, по сути, неопределенный по размеру блок кода, хранящийся в одном файле. Этот код может быть частью приложения, службы или просто дополнением к графическому пользовательскому интерфейсу. Dllhost.exe, как и svchost.exe , является обязательной службой Windows для любого программного кода, ориентированного на COM+. Пример того, что запускает dllhost.exe, показан ниже с помощью Process Monitor, который включает в себя файлы как .dll, так и .exe.

Риски

Dllhost.exe обычно безопасен, если на компьютере установлены все последние обновления безопасности и установлен надежный антивирус. Если вы видите его в следующих местах, вы в безопасности:

• Официальный каталог для этого процесса — C:\Windows\System32\dllhost.exe.
• Dllhst3g также является допустимым процессом Windows, хранящимся в той же папке System32.

Если dllhost.exe появляется где-либо еще, это, вероятно, вирус. Некоторые вирусы-черви имитируют имя dllhost и сохраняют себя в папке System32. Вот несколько примеров:

• Worm/Loveelet-Y сохраняет себя в /Windows/System32/ как dllhost.com
• Worm/Loveelet-DR сохраняет себя в /Windows/System32/ как dllhost.dll

Высокая загрузка ЦП

Один из возможных недостатков безопасности в конструкции системы COM+ заключается в том, что она позволяет запускать любую DLL, хранящуюся в системе, при условии, что триггер, инициирующий ее, имеет необходимые разрешения. Это означает, что когда вы видите высокую загрузку ЦП для dllhost.exe, вероятно, проблема не в хост-процессе, а в загруженной DLL, работающей через хост. Вы можете использовать такую ​​программу, как Process Explorer , для дальнейшего изучения.

Резюме

Dllhost.exe — это безопасный процесс Windows, созданный Microsoft. Он используется для запуска других приложений и сервисов. Его следует оставить работающим, так как он критичен для нескольких системных ресурсов.

Использованная литература:

• COM+ (службы компонентов)

• Что такое КОМ?