dllhost.exe คืออะไรและทำไมจึงทำงาน

การอ่านอย่างรวดเร็วผ่านตัวจัดการงานบนระบบ Windows ใด ๆ จะเปิดเผยกระบวนการที่เรียกว่า dllhost.exe ที่ทำงานอยู่เบื้องหลัง หากคุณพบสิ่งนี้ คุณอาจต้องการทราบว่าสิ่งนี้และคำอธิบายของ “COM Surrogate” กำลังทำอะไรอยู่ และการทำงานบนคอมพิวเตอร์ของคุณเป็นกระบวนการที่ปลอดภัยหรือไม่ สิ่งที่ดีที่จะต้องพิจารณาคือมันควรจะอยู่ที่นั่น นี่เป็นกระบวนการที่สร้างโดย Microsoft และบรรจุอยู่ในระบบปฏิบัติการ Windows ทุกรุ่น

มีโอกาสเล็กน้อยที่ dllhost.exe อาจติดไวรัสได้ อย่างไรก็ตาม หากคอมพิวเตอร์ของคุณอัปเดตด้วยแพตช์ความปลอดภัยล่าสุดทั้งหมดจาก Windows Update และคุณมีโปรแกรมป้องกันไวรัสติดตั้งอยู่ เช่นMicrosoft Security Essentialsก็ไม่น่าเป็นไปได้สูงที่คุณจะมีปัญหากับการติดไวรัส

COM+ คืออะไร?

เพื่อให้เข้าใจว่า dllhost.exe ทำอะไร คุณต้องเข้าใจว่า COM+ Service คืออะไร COM+ ย่อมาจากC omponent O bject M odel เมื่อดึงกระบวนการ/บริการใน Process Explorer ขึ้นมา จะไม่เปิดเผยอะไรมาก คำอธิบายสำหรับกระบวนการอ่าน:

Manages the configuration and tracking of Component Object Model (COM)+-based components. If the service is stopped, most COM+-based components will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

หากต้องการเจาะลึกถึงกระบวนการจริงๆ เราจะต้องดูที่ไลบรารีMicrosoft Dev Center และพบว่า COM+ มีประโยชน์หลักสำหรับสิ่งต่อไปนี้:

• การปรับใช้แอปพลิเคชันระดับองค์กรสำหรับเครือข่ายทั้งหมด
• จัดเตรียมส่วนประกอบที่มีอยู่แล้วสำหรับการพัฒนาแอปพลิเคชัน เนื่องจาก COM+ ถือเป็นสถาปัตยกรรมการเขียนโปรแกรมเชิงวัตถุ
• เรียกใช้รีจิสตรีเหตุการณ์ที่จัดการคำขอของระบบ ปรับปรุงความปลอดภัย ทริกเกอร์การจัดการกระบวนการ และสร้างคิวคำขอบริการสำหรับแอปพลิเคชัน

COM+ ประกอบด้วยส่วนประกอบสำเร็จรูปที่กำหนดตัวเองและเล่นได้ดีกับผู้อื่น ประโยชน์ในเรื่องนี้มาจากการออกแบบส่วนประกอบที่ใช้ร่วมกันและนำกลับมาใช้ใหม่โดยแอพพลิเคชั่นต่างๆ การออกแบบนี้ไม่เพียงลดความต้องการทรัพยากรระบบ แต่ยังช่วยเพิ่มความเร็วในการเริ่มต้นอีกด้วย โมเดลอ็อบเจ็กต์ส่วนประกอบไม่ได้เขียนในภาษาการเขียนโปรแกรมเฉพาะใดๆ อย่างไรก็ตาม มีคลาสที่แยกจากกันสำหรับแต่ละรายการขึ้นอยู่กับภาษาการเขียนโปรแกรมที่ต้องการ ในระดับองค์กร สิ่งนี้ให้ข้อดีของการปรับใช้จำนวนมากด้วยเครื่องมือ GUI ที่ Microsoft สร้างขึ้นซึ่งเรียกว่าDCOM

Dllhost.exe เป็นโฮสต์สำหรับไฟล์ DLL และไฟล์ปฏิบัติการแบบไบนารี

DLL (ไดนามิกลิงก์ไลบรารี) เป็นบล็อกโค้ดขนาดไม่เจาะจงที่จัดเก็บไว้ในไฟล์เดียว รหัสนี้สามารถเป็นส่วนเสริมของแอปพลิเคชัน บริการ หรือเพียงแค่ส่วนเสริมสำหรับส่วนต่อประสานกราฟิกกับผู้ใช้ Dllhost.exe ซึ่งคล้ายกับsvchost.exeเป็นบริการ Windows ที่จำเป็นสำหรับรหัสการเขียนโปรแกรมเชิง COM+ ตัวอย่างการทำงานของ dllhost.exe แสดงอยู่ด้านล่างโดยใช้ Process Monitor ซึ่งมีทั้งไฟล์ประเภท .dll และ .exe

ความเสี่ยง

โดยทั่วไปแล้ว Dllhost.exe จะปลอดภัยตราบใดที่คอมพิวเตอร์อัพเดทแพทช์ความปลอดภัยทั้งหมดและติดตั้งโปรแกรมป้องกันไวรัสที่เชื่อถือได้ หากคุณพบเห็นในสถานที่ต่อไปนี้แสดงว่าคุณปลอดภัย:

• ตำแหน่งไดเรกทอรีอย่างเป็นทางการสำหรับกระบวนการนี้คือ C:\Windows\System32\dllhost.exe
• Dllhst3g เป็นกระบวนการ Windows ที่ถูกต้องซึ่งจัดเก็บไว้ในโฟลเดอร์ System32 เดียวกัน

หาก dllhost.exe ปรากฏขึ้นที่อื่น แสดงว่าอาจเป็นไวรัส ไวรัสเวิร์มบางตัวเลียนแบบชื่อ dllhost และเก็บไว้ในโฟลเดอร์ System32 นี่คือตัวอย่างบางส่วน:

• Worm/Loveelet-Y เก็บตัวเองใน /Windows/System32/ เป็น dllhost.com
• Worm/Loveelet-DR เก็บตัวเองใน /Windows/System32/ เป็น dllhost.dll

การใช้งาน CPU สูง

ข้อบกพร่องด้านความปลอดภัยประการหนึ่งที่เป็นไปได้ในการออกแบบระบบ COM+ คืออนุญาตให้ DLL ใดๆ ที่จัดเก็บไว้ในระบบทำงานได้ โดยถือว่าทริกเกอร์เริ่มต้นการอนุญาตที่จำเป็น ซึ่งหมายความว่าเมื่อคุณเห็นการใช้งาน CPU สูงสำหรับ dllhost.exe อาจไม่ใช่กระบวนการโฮสต์ที่ทำให้เกิดปัญหา แต่เป็น DLL ที่โหลดซึ่งทำงานผ่านโฮสต์ คุณสามารถใช้โปรแกรมเช่นProcess Explorerเพื่อตรวจสอบเพิ่มเติม

สรุป

Dllhost.exe เป็นกระบวนการ Windows ที่ปลอดภัยที่สร้างโดย Microsoft ใช้สำหรับเปิดแอปพลิเคชันและบริการอื่นๆ ควรปล่อยให้ทำงานต่อไปเนื่องจากมีความสำคัญต่อทรัพยากรระบบหลายอย่าง

ข้อมูลอ้างอิง:

• COM+ (บริการส่วนประกอบ)

• คอมคืออะไร?