Co to jest dllhost.exe i dlaczego to działa?

Szybkie przeglądanie za pomocą Menedżera zadań w dowolnym systemie Windows ujawni proces znany jako dllhost.exe działający w tle. Jeśli to stwierdziłeś, prawdopodobnie chciałbyś wiedzieć, co robi i jak się nazywa "COM Surrogate" i czy jest to bezpieczny proces, który możesz uruchomić na swoim komputerze. Dobrą rzeczą do rozważenia jest to, że powinno tam być. Jest to proces stworzony przez firmę Microsoft i jest pakowany w każdą wersję systemu operacyjnego Windows.

Istnieje mała szansa, że ​​plik dllhost.exe może zostać zainfekowany przez wirusa. Jeśli jednak komputer jest aktualny ze wszystkimi najnowszymi poprawkami zabezpieczeń z witryny Windows Update i zainstalowany jest program antywirusowy, taki jak Microsoft Security Essentials, jest bardzo mało prawdopodobne, że wystąpią jakiekolwiek problemy z infekcją.

Co to jest COM +?

Aby zrozumieć, co robi dllhost.exe, musisz zrozumieć, czym jest usługa COM +. COM + jest skrótem od C omponent O bject M odel. Podczas ciągnięcia procesu / usługi w Process Explorer nie ujawnia się zbyt wiele. Opis procesu brzmi:

Zarządza konfiguracją i śledzeniem komponentów opartych na komponentowym modelu obiektowym (COM) +. Jeśli usługa zostanie zatrzymana, większość składników opartych na COM + nie będzie działać poprawnie. Jeśli ta usługa zostanie wyłączona, wszelkie usługi, które jawnie od niej zależą, nie zostaną uruchomione.

Aby naprawdę zagłębić się w proces, musimy przyjrzeć się bibliotece Microsoft Dev Center. I okazuje się, że COM + jest przede wszystkim przydatny w następujących przypadkach:

  • Wdrażanie aplikacji na poziomie przedsiębiorstwa dla całej sieci.
  • Zapewnienie wcześniej istniejących komponentów do tworzenia aplikacji, ponieważ COM + jest uważany za obiektową architekturę programistyczną.
  • Uruchamianie rejestru zdarzeń, który obsługuje żądania systemowe, zwiększa bezpieczeństwo, wyzwalanie uchwytów procesów i tworzenie kolejek żądań usług dla aplikacji.

COM + składa się z komponentów składowych, które definiują siebie i dobrze współgrają z innymi. Przydatność wynika z projektowania komponentów, które są współdzielone i ponownie wykorzystywane przez wiele aplikacji. Ta konstrukcja nie tylko zmniejsza zapotrzebowanie na zasoby systemowe, ale także poprawia szybkość inicjalizacji. Modele obiektów składowych nie są napisane w żadnym konkretnym języku programowania, jednak dla każdego z nich istnieją osobne klasy w zależności od zamierzonego języka programowania. Na poziomie przedsiębiorstwa zapewnia to masową implementację za pomocą narzędzia GUI, które Microsoft utworzył o nazwie DCOM.

Dllhost.exe jest hostem dla plików DLL i binarnych plików wykonywalnych.

Biblioteka DLL (dynamic link library) jest zasadniczo nieokreślonym blokiem kodu przechowywanym w jednym pliku. Ten kod może być składem aplikacji, usługi lub dodatkiem do graficznego interfejsu użytkownika. Dllhost.exe, podobnie jak svchost.exe, jest wymaganą usługą Windows dla dowolnego kodu zorientowanego na COM +. Próbka tego, co działa dllhost.exe, jest pokazana poniżej za pomocą Monitora procesu, który zawiera oba typy plików .dll i .exe.

Ryzyka

Dllhost.exe jest zwykle bezpieczny, o ile komputer jest aktualny na wszystkich poprawkach zabezpieczeń i zainstalowany jest niezawodny program antywirusowy. Jeśli widzisz go w następujących miejscach, jesteś bezpieczny:

  • Oficjalna lokalizacja katalogu dla tego procesu to C: \ Windows \ System32 \ dllhost.exe
  • Dllhst3g jest również prawidłowym procesem systemu Windows przechowywanym w tym samym folderze System32.

Jeśli plik dllhost.exe pojawi się gdziekolwiek indziej, prawdopodobnie jest to wirus. Niektóre wirusy robaków naśladują nazwę dllhost i przechowują się w folderze System32. Oto kilka przykładów:

  • Worm / Loveelet-Y przechowuje się w / Windows / System32 / as dllhost.com
  • Worm / Loveelet-DR przechowuje się w / Windows / System32 / as dllhost.dll

Wysokie użycie procesora

Jedną z możliwych luk w zabezpieczeniach w projekcie systemu COM + jest to, że pozwala na uruchomienie dowolnej biblioteki DLL przechowywanej w systemie, zakładając, że wyzwalacz inicjuje wymagane uprawnienia. Oznacza to, że gdy widzisz wysokie użycie procesora dla dllhost.exe, prawdopodobnie nie jest to proces hosta powodujący problem, ale raczej załadowana biblioteka DLL pobierana przez hosta. Możesz skorzystać z programu, takiego jak Process Explorer, aby zbadać dalej.

Podsumowanie

Dllhost.exe to bezpieczny proces systemu Windows stworzony przez firmę Microsoft. Służy do uruchamiania innych aplikacji i usług. Powinien pozostać włączony, ponieważ ma krytyczne znaczenie dla wielu zasobów systemowych.

Referencje: