在任何Windows系统上通过任务管理器快速浏览都会发现一个在后台运行的名为dllhost.exe的进程。 如果发现了这一点,您可能想知道它在做什么以及它对“ COM Surrogate”的描述,以及在计算机上运行它是否是一个安全的过程。 要考虑的好事是它应该在那里。 这是由Microsoft创建的过程,并包装在Windows操作系统的每个版本中。

任务管理器中的dllhost

dllhost.exe被病毒感染的可能性很小。 但是,如果您的计算机是Windows Update的所有最新安全补丁程序的最新版本,并且您已安装了防病毒软件(例如Microsoft Security Essentials),则极不可能出现感染问题。

什么是COM +?

若要了解dllhost.exe的作用,您需要了解COM +服务是什么。 COM +是组件对象模型的缩写。 当在Process Explorer中拉动流程/服务时,显示的内容并不多。 该过程的说明为:

管理基于组件对象模型(COM)+的组件的配置和跟踪。 如果服务停止,则大多数基于COM +的组件将无法正常运行。 如果禁用此服务,则任何明确依赖于此服务的服务将无法启动。

要真正研究什么过程,我们必须看一下Microsoft Dev Center库。 它揭示了COM +主要用于以下方面:

  • 为整个网络部署企业级应用程序;由于COM +被视为面向对象的编程体系结构,因此为应用程序开发提供了预先存在的组件;运行事件注册表以处理系统请求,增强安全性,触发过程句柄并创建服务请求队列适用于应用程序。

COM +由自定义的构建模块组件组成,可以与其他组件很好地协作。 这样做的用处是由多个应用程序共享和重用的组件设计。 这种设计不仅降低了对系统资源的需求,而且还提高了初始化速度。 组件对象模型不是用任何特定的编程语言编写的,但是,每种模块都有单独的类,具体取决于所需的编程语言。 在企业级别,这提供了使用Microsoft创建的称为DCOM的GUI工具进行大规模部署的优势。

com +系统应用

Dllhost.exe是DLL文件和二进制可执行文件的宿主。

DLL(动态链接库)本质上是存储在单个文件中的大小不确定的代码块。 该代码可以是应用程序,服务的组成,也可以只是图形用户界面的附加组件。 与svchost.exe相似,Dllhost.exe是任何面向COM +的编程代码所必需的Windows服务。 下面使用过程监视器显示dllhost.exe运行的示例,其中包括.dll和.exe文件类型。

过程监控器

风险性

只要计算机上所有安全修补程序都是最新的并且安装了可靠的防病毒软件,Dllhost.exe通常是安全的。 如果在以下位置看到它,则表示安全:

  • 此过程的官方目录位置是C:\ Windows \ System32 \ dllhost.exeDllhst3g也是存储在同一System32文件夹中的有效Windows进程。

如果dllhost.exe出现在其他任何地方,则可能是病毒。 一些蠕虫病毒模仿dllhost的名称并将其自身存储在System32文件夹中。 这里有一些例子:

  • Worm / Loveelet-Y将自身存储在/ Windows / System32 /中作为dllhost.comWorm / Loveelet-DR将自身存储在/ Windows / System32 /中作为dllhost.dll

高CPU使用率

COM +系统设计中的一个可能的安全缺陷是,假定触发器将其初始化为必需的权限,则它允许运行系统上存储的任何DLL。 这意味着当您看到dllhost.exe的CPU使用率很高时,它可能不是引起问题的主机进程,而是通过主机运行的已加载DLL。 您可以使用诸如Process Explorer之类的程序进行进一步调查。

system32文件夹位置

摘要

Dllhost.exe是Microsoft创建的安全Windows进程。 它用于启动其他应用程序和服务。 应该保持运行状态,因为它对多个系统资源至关重要。

参考文献:

  • COM +(组件服务)什么是COM?