“ COM Surrogate” (dllhost.exe) คืออะไรและเหตุใดมันจึงทำงานบนพีซีของฉัน
หากคุณโผล่ในตัวจัดการงานของคุณมีโอกาสที่ดีที่คุณจะเห็นกระบวนการ“ ตัวแทนเสมือน” หนึ่งกระบวนการขึ้นไปที่ทำงานบนพีซี Windows กระบวนการเหล่านี้มีชื่อไฟล์“ dllhost.exe” และเป็นส่วนหนึ่งของระบบปฏิบัติการ Windows คุณจะเห็นพวกเขาใน Windows 10, Windows 8, Windows 7 และแม้กระทั่งรุ่นก่อนหน้าของ Windows.
บทความนี้เป็นส่วนหนึ่งของชุดข้อมูลอย่างต่อเนื่องของเราที่อธิบายถึงกระบวนการต่างๆที่พบในตัวจัดการงานเช่น Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe และอื่น ๆ อีกมากมาย ไม่ทราบว่าบริการเหล่านั้นคืออะไร? เริ่มอ่านได้ดีขึ้น!
COM Surrogate คืออะไร (dllhost.exe)?
COM ย่อมาจาก Component Object Model นี่เป็นอินเทอร์เฟซที่ Microsoft เปิดตัวเมื่อปี 1993 ที่อนุญาตให้นักพัฒนาสร้าง“ วัตถุ COM” โดยใช้ภาษาการเขียนโปรแกรมที่แตกต่างหลากหลาย โดยพื้นฐานแล้ววัตถุ COM เหล่านี้จะเสียบเข้ากับแอปพลิเคชันอื่นและขยายออกไป.
ตัวอย่างเช่นตัวจัดการไฟล์ของ Windows ใช้วัตถุ COM เพื่อสร้างรูปขนาดย่อของรูปภาพและไฟล์อื่น ๆ เมื่อเปิดโฟลเดอร์ วัตถุ COM จะจัดการกับการประมวลผลภาพวิดีโอและไฟล์อื่น ๆ เพื่อสร้างรูปขนาดย่อ สิ่งนี้ทำให้ File Explorer สามารถขยายได้ด้วยการรองรับตัวแปลงสัญญาณวิดีโอใหม่ตัวอย่างเช่น.
อย่างไรก็ตามสิ่งนี้สามารถนำไปสู่ปัญหา ถ้าวัตถุ COM ขัดข้องจะทำให้กระบวนการโฮสต์ของมันล้มเหลว ณ จุดหนึ่งมันเป็นเรื่องธรรมดาที่วัตถุ COM ที่สร้างภาพขนาดย่อเหล่านี้จะพังและนำกระบวนการ Windows Explorer ทั้งหมดไปใช้.
ในการแก้ไขปัญหาประเภทนี้ Microsoft ได้สร้างกระบวนการ COM Surrogate กระบวนการตัวแทนเสมือนเรียกใช้วัตถุ COM ภายนอกกระบวนการเดิมที่ร้องขอ หากวัตถุ COM ขัดข้องจะทำให้กระบวนการตัวแทนเสมือนล้มเหลวและกระบวนการโฮสต์เดิมจะไม่ทำงานล้มเหลว ตัวอย่างเช่น Windows Explorer (ตอนนี้เรียกว่า File Explorer) เริ่มกระบวนการ COM Surrogate ทุกครั้งที่ต้องการสร้างภาพขนาดย่อ กระบวนการตัวแทนเสมือนโฮสต์วัตถุ COM ซึ่งทำงาน หากวัตถุ COM ขัดข้อง COM Surrogate จึงขัดข้องและกระบวนการ File Explorer ดั้งเดิมจะเก็บไว้ในรถบรรทุก.
“ ในคำอื่น ๆ ” ในขณะที่บล็อกอย่างเป็นทางการของ Microsoft The Old New Thing กล่าวว่า“ ตัวแทนเสมือนคือ ฉันรู้สึกไม่ดีเกี่ยวกับรหัสนี้ดังนั้นฉันจะขอให้ COM เป็นเจ้าภาพในกระบวนการอื่น ด้วยวิธีนี้ถ้าเกิดขัดข้องเป็นกระบวนการเสียสละ COM Surrogate ที่ล้มเหลวแทนที่จะเป็นฉัน กระบวนการ."
และในขณะที่คุณอาจเดาได้ COM Surrogate มีชื่อว่า“ dllhost.exe” เนื่องจากวัตถุ COM ที่โฮสต์เป็นไฟล์. dll.
ฉันจะบอกได้อย่างไรว่าวัตถุ COM ใด COM ตัวแทนตั้งค่าโฮสติ้ง?
ตัวจัดการงานของ Windows มาตรฐานไม่ให้ข้อมูลใด ๆ เพิ่มเติมกับคุณเกี่ยวกับวัตถุ COM หรือไฟล์ DLL ที่กระบวนการตัวแทน COM เป็นโฮสติ้ง หากคุณต้องการดูข้อมูลนี้เราขอแนะนำเครื่องมือ Process Explorer ของ Microsoft ดาวน์โหลดและคุณสามารถวางเมาส์เหนือกระบวนการ dllhost.exe ใน Process Explorer เพื่อดูว่า COM Object หรือไฟล์ DLL นั้นโฮสต์อยู่ที่ไหน.
ตามที่เราเห็นในภาพด้านล่างกระบวนการ dllhost.exe นี้โดยเฉพาะกำลังโฮสต์วัตถุ CortanaMapiHelper.dll.
ฉันสามารถปิดการใช้งาน?
คุณไม่สามารถปิดการใช้งานกระบวนการตัวแทนเสมือนเนื่องจากเป็นส่วนที่จำเป็นของ Windows จริงๆแล้วเป็นเพียงกระบวนการคอนเทนเนอร์ที่ใช้เพื่อเรียกใช้วัตถุ COM ที่กระบวนการอื่นต้องการเรียกใช้ ตัวอย่างเช่น Windows Explorer (หรือ File Explorer) สร้างกระบวนการ COM Surrogate เป็นประจำเพื่อสร้างรูปขนาดย่อเมื่อคุณเปิดโฟลเดอร์ โปรแกรมอื่น ๆ ที่คุณใช้อาจสร้างกระบวนการตัวแทนเสมือนของพวกเขาเอง กระบวนการ dllhost.exe ทั้งหมดในระบบของคุณเริ่มต้นโดยโปรแกรมอื่นเพื่อทำสิ่งที่โปรแกรมต้องการทำ.
มันเป็นไวรัสหรือเปล่า?
กระบวนการตัวแทนเสมือนนั้นไม่ใช่ไวรัสและเป็นส่วนหนึ่งของ Windows อย่างไรก็ตามมัลแวร์นั้นสามารถใช้ได้ ตัวอย่างเช่นมัลแวร์ Trojan.Poweliks ใช้กระบวนการ dllhost.exe เพื่อทำงานสกปรก หากคุณเห็นกระบวนการ dllhost.exe จำนวนมากกำลังทำงานและกำลังใช้ CPU ในปริมาณที่สังเกตได้ซึ่งอาจบ่งบอกว่ากระบวนการ COM Surrogate กำลังถูกใช้งานโดยไวรัสหรือโปรแกรมที่เป็นอันตราย.
หากคุณกังวลว่ามีการละเมิดมัลแวร์ dllhost.exe หรือกระบวนการ COM Surrogate คุณควรทำการสแกนด้วยโปรแกรมป้องกันไวรัสที่คุณต้องการเพื่อค้นหาและลบมัลแวร์ที่มีอยู่ในระบบของคุณ หากโปรแกรมป้องกันไวรัสที่คุณเลือกระบุว่าทุกอย่างเรียบร้อยดี แต่คุณสงสัยให้ทำการสแกนด้วยเครื่องมือป้องกันไวรัสตัวอื่นเพื่อรับความเห็นที่สอง.