Що таке dllhost.exe і чому він працює?

Швидкий перегляд диспетчера завдань у будь-якій системі Windows покаже процес, відомий як dllhost.exe, що працює у фоновому режимі. Якщо ви знайшли це, ви, ймовірно, хотіли б знати, що він і його опис «COM Surrogate» роблять і чи безпечно це процес для запуску на вашому комп’ютері. Хороша річ, яку слід враховувати, це те, що вона має бути там. Це процес, створений корпорацією Майкрософт і включений у кожну версію операційної системи Windows.

Існує невелика ймовірність того, що dllhost.exe може бути заражений вірусом. Однак якщо на вашому комп’ютері встановлено всі найновіші виправлення системи безпеки зі служби Windows Update і встановлено антивірус, як-от Microsoft Security Essentials , малоймовірно, що у вас виникнуть проблеми із зараженням.

Що таке COM+?

Щоб зрозуміти, що робить dllhost.exe, вам потрібно зрозуміти, що таке служба COM+. COM+ є скороченням від C component O bject M model. Під час витягування процесу/служби в Process Explorer це мало що розкриває. Опис процесу звучить так:

Керує конфігурацією та відстеженням компонентів на основі моделі компонентних об’єктів (COM)+. Якщо службу зупинено, більшість компонентів на основі COM+ не працюватимуть належним чином. Якщо цю службу вимкнено, будь-які служби, які явно від неї залежать, не зможуть запуститися.

Щоб по-справжньому заглибитися в процес, нам доведеться поглянути на бібліотеку Microsoft Dev Center . І це показує, що COM+ корисний насамперед для наступного:

• Розгортання програм корпоративного рівня для всієї мережі.
• Надання вже існуючих компонентів для розробки додатків, оскільки COM+ вважається об’єктно-орієнтованою архітектурою програмування.
• Запуск реєстру подій, який обробляє системні запити, підвищує безпеку, запускає дескриптори процесів і створює черги запитів на обслуговування для програм.

COM+ складається з компонентів будівельних блоків, які є самовизначеними та добре поєднуються з іншими. Корисність цього випливає з дизайну компонентів, які спільно використовуються та повторно використовуються кількома програмами. Така конструкція не тільки знижує потребу в системних ресурсах, але й покращує швидкість ініціалізації. Об’єктні моделі компонентів не написані на якійсь конкретній мові програмування, однак для кожної існують окремі класи залежно від призначеної мови програмування. На рівні підприємства це забезпечує перевагу масового розгортання за допомогою створеного корпорацією Майкрософт графічного інтерфейсу під назвою DCOM .

Dllhost.exe — це хост для файлів DLL і двійкових виконуваних файлів.

DLL (динамічна бібліотека компонування) — це, по суті, блок коду, незалежний від розміру, який зберігається в одному файлі. Цей код може бути складовою програми, служби або просто надбудови для графічного інтерфейсу користувача. Dllhost.exe, подібний до svchost.exe , є обов’язковою службою Windows для будь-якого програмного коду, орієнтованого на COM+. Зразок того, що dllhost.exe запускає, показано нижче за допомогою Process Monitor, який включає файли як .dll, так і .exe.

Ризики

Dllhost.exe зазвичай безпечний, якщо на комп’ютері встановлено всі виправлення безпеки та встановлено надійний антивірус. Якщо ви бачите його в таких місцях, ви в безпеці:

• Офіційним розташуванням каталогу для цього процесу є C:\Windows\System32\dllhost.exe
• Dllhst3g також є дійсним процесом Windows, який зберігається в тій же папці System32.

Якщо dllhost.exe з’являється в іншому місці, ймовірно, це вірус. Деякі віруси-хробаки імітують назву dllhost і зберігаються в папці System32. Ось кілька прикладів:

• Worm/Loveelet-Y зберігає себе в /Windows/System32/ як dllhost.com
• Worm/Loveelet-DR зберігає себе в /Windows/System32/ як dllhost.dll

Високе використання ЦП

Одним із можливих недоліків безпеки в конструкції системи COM+ є те, що вона дозволяє запускати будь-яку бібліотеку DLL, що зберігається в системі, за умови, що тригер, який ініціює її, має необхідні дозволи. Це означає, що коли ви бачите високе використання ЦП для dllhost.exe, ймовірно, проблему спричиняє не процес хоста, а скоріше завантажена DLL, яка працює через хост. Для подальшого дослідження можна скористатися такою програмою, як Process Explorer .

Резюме

Dllhost.exe — безпечний процес Windows, створений Microsoft. Використовується для запуску інших програм і служб. Його слід залишити запущеним, оскільки він критичний для кількох системних ресурсів.

Література:

• COM+ (служби компонентів)

• Що таке COM?