See artikkel on osa meie käimasolevast seeriast, mis selgitab ülesannete halduril leiduvaid erinevaid protsesse, nagu Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe ja paljud teised. Kas te ei tea, millised on need teenused? Parem alustage lugemist!
Mis on COM-i surrogaat (dllhost.exe)?
COM tähistab Component Object Model. See on liides, mille Microsoft tutvustas 1993. aastal ja mis võimaldab arendajatel luua "COM-objekte", kasutades erinevaid programmeerimiskeele. Põhimõtteliselt need COM-objektid ühendavad muud rakendused ja laiendavad neid.
Näiteks Windowsi failihaldur kasutab COM-objekte, et luua pilte ja muid faile pisipilte, kui see avab kausta. COM-objekt tegeleb piltide, videote ja muude failide töötlemisega pisipiltide genereerimiseks. See võimaldab näiteks File Explorerit laiendada uute videokoodekite toetusega.
See võib siiski põhjustada probleeme. Kui COM-objekt jookseb kokku, võtab see oma hostprotsessi. Ühel hetkel oli nende pisipiltide loomise COM-objektide jaoks tavaline, et need häkkivad ja need kogu Windows Exploreri protsessi ära võtavad.
Selle probleemi lahendamiseks lõi Microsoft välja COM-i Surrogate protsessi. COM-i sordinate protsess käivitab COM-i objekti väljapoole algupärast protsessi, mis seda soovis. Kui COM-objekt jookseb kokku, võtab see ainult COM-i Surroga protsessi ja algne vastuvõttev protsess ei katkesta. Näiteks käivitab Windows Explorer (nüüd tuntud kui File Explorer) COM-i sordinate protsessi, kui ta vajab pisipiltide genereerimist. COM-i sordinate protsess korraldab COM-i objekti, mis töötab. Kui COM-objekt jookseb kokku, hoiab kaubavedusid alles ainult COM-i Surrogati krahhi ja algne File Explorer protsess.
"Teisisõnu", nagu on ametlik Microsofti blogi "Vana uus asi", "COM-i sordinaat on"Ma ei tunne seda koodi ennast hästi, nii et ma küsiksin COM-is hosti selle teise protsessi käigus. Nii, kui see jookseb kokku, on see COM-i Surrogaat ohverdusprotsess, mis rikub minu asemel protsessi."
Ja nagu võis arvata, nimetatakse COM-i Surrogate nimeks dllhost.exe, sest COM-i hostitud objektid on.dll-failid.
Kuidas ma saan öelda, milline COM-objekt on COM-i asendajana hostimine?
Standardne Windowsi tööülesannete haldur ei anna teile lisateavet selle kohta, millist COM-objekti või DLL-faili hostib COM-i sordinaat. Kui soovite seda teavet näha, soovitame Microsofti protsessiuuringute vahendit. Laadige see alla ja saate lihtsalt protsessori dllhost.exe abil hiirega üle vaadata, millist COM-objekti või DLL-faili ta hostib.
Nagu näeme allpool oleval ekraanipildil, käib selle konkreetse dllhost.exe protsessi objekti CortanaMapiHelper.dll.
Kas ma saan selle keelata?
Sa ei saa keelata COM-i surroga protsessi, kuna see on Windowsi vajalik osa. See on tõesti konteineri protsess, mida kasutatakse COM-objektide käitamiseks, mida teised protsessid tahavad käivitada. Näiteks, Windows Explorer (või File Explorer) loob regulaarselt kataloogi avamisel pisipiltide loomiseks COM-i sordikaadet. Teised kasutatavad programmid võivad luua ka oma COM-i sordikaadet. Kõik dllhost.exe-protsessid teie süsteemis käivitati teise programmiga, et teha midagi, mida programm soovib teha.
Kas see on viirus?
COM Surrogate protsess ise ei ole viirus ja see on Windowsi tavaline osa. Kuid seda saab kasutada pahavara. Näiteks Trojan.Poweliks pahavara kasutab dllhost.exe protsesse oma määrdunud töö tegemiseks. Kui näete suurt arvu dllhost.exe-käitatavaid protsesse ja nad kasutavad märkimisväärset hulka CPU-d, võib see tähendada, et viirusetõrje või muu pahatahtliku rakenduse poolt kuritarvitatakse COM Surrogati protsessi.
Kui olete mures, et pahavara kasutab dllhost.exe või COM Surrogate protsessi, peaksite oma süsteemis oleva pahavara leidmiseks ja eemaldamiseks käima skannimise oma eelistatud viirusetõrjeprogrammiga. Kui teie valitud viirusetõrjeprogramm ütleb, et kõik on korras, kuid olete kahtlane, käivitage skannimine teise viirustõrjevahendiga, et saada teine arvamus.
