“ COM Surrogate” (dllhost.exe) คืออะไรและเหตุใดจึงทำงานบนพีซีของฉัน

หากคุณโผล่เข้ามาในตัวจัดการงานมีโอกาสดีที่คุณจะเห็นกระบวนการ“ COM Surrogate” อย่างน้อยหนึ่งกระบวนการทำงานบนพีซี Windows กระบวนการเหล่านี้มีชื่อไฟล์ว่า“ dllhost.exe” และเป็นส่วนหนึ่งของระบบปฏิบัติการ Windows คุณจะเห็นสิ่งเหล่านี้ใน Windows 10, Windows 8, Windows 7 และแม้แต่ Windows เวอร์ชันก่อนหน้า

ที่เกี่ยวข้อง: กระบวนการนี้คืออะไรและเหตุใดจึงทำงานบนพีซีของฉัน

บทความนี้เป็นส่วนหนึ่งของซีรี่ส์ต่อเนื่องของเราที่อธิบายกระบวนการต่างๆที่พบในตัวจัดการงานเช่น Runtime Broker, svchost.exe, dwm.exe, ctfmon.exe, rundll32.exe, Adobe_Updater.exe และอื่น ๆ อีกมากมาย ไม่รู้ว่าบริการเหล่านั้นคืออะไร? เริ่มอ่านกันเลยดีกว่า!

COM Surrogate (dllhost.exe) คืออะไร?

COM ย่อมาจาก Component Object Model นี่คืออินเทอร์เฟซที่ Microsoft เปิดตัวในปี 1993 ซึ่งช่วยให้นักพัฒนาสามารถสร้าง "COM object" โดยใช้ภาษาโปรแกรมต่างๆ โดยพื้นฐานแล้ววัตถุ COM เหล่านี้จะเชื่อมต่อกับแอปพลิเคชันอื่น ๆ และขยายออกไป

ตัวอย่างเช่นตัวจัดการไฟล์ของ Windows ใช้วัตถุ COM เพื่อสร้างภาพขนาดย่อของรูปภาพและไฟล์อื่น ๆ เมื่อเปิดโฟลเดอร์ วัตถุ COM จะจัดการการประมวลผลรูปภาพวิดีโอและไฟล์อื่น ๆ เพื่อสร้างภาพขนาดย่อ สิ่งนี้ช่วยให้ File Explorer สามารถขยายได้ด้วยการรองรับตัวแปลงสัญญาณวิดีโอใหม่ตัวอย่างเช่น

อย่างไรก็ตามสิ่งนี้อาจนำไปสู่ปัญหาได้ หากออบเจ็กต์ COM ขัดข้องระบบจะปิดกระบวนการโฮสต์ จนถึงจุดหนึ่งเป็นเรื่องปกติที่วัตถุ COM ที่สร้างภาพขนาดย่อเหล่านี้จะขัดข้องและทำลายกระบวนการ Windows Explorer ทั้งหมดด้วยพวกเขา

เพื่อแก้ไขปัญหาประเภทนี้ Microsoft ได้สร้างกระบวนการ COM Surrogate กระบวนการ COM Surrogate เรียกใช้อ็อบเจ็กต์ COM นอกกระบวนการดั้งเดิมที่ร้องขอ หากออบเจ็กต์ COM ขัดข้องมันจะลบกระบวนการ COM Surrogate เท่านั้นและกระบวนการโฮสต์ดั้งเดิมจะไม่ผิดพลาด ตัวอย่างเช่น Windows Explorer (ปัจจุบันรู้จักกันในชื่อ File Explorer) เริ่มกระบวนการ COM Surrogate เมื่อใดก็ตามที่ต้องการสร้างภาพขนาดย่อ กระบวนการ COM Surrogate โฮสต์วัตถุ COM ซึ่งทำงาน หากออบเจ็กต์ COM เกิดปัญหาเฉพาะ COM Surrogate ที่ขัดข้องและกระบวนการ File Explorer เดิมจะยังคงทำงานต่อไป

“ กล่าวอีกนัยหนึ่ง” ตามที่บล็อกอย่างเป็นทางการของ Microsoft The Old New Thing กล่าวว่า“ COM Surrogate คือ  ฉันไม่รู้สึกดีกับโค้ดนี้ดังนั้นฉันจะขอให้ COM โฮสต์โค้ดนี้ในกระบวนการอื่น ด้วยวิธีนี้ถ้ามันขัดข้องมันเป็นกระบวนการบูชายัญของ COM Surrogate ที่ขัดข้องแทนที่จะเป็น  กระบวนการของฉัน

และอย่างที่คุณคาดเดา COM Surrogate มีชื่อว่า“ dllhost.exe” เนื่องจากวัตถุ COM ที่โฮสต์เป็นไฟล์. dll

ฉันจะบอกได้อย่างไรว่า COM วัตถุใดที่ตัวแทนของ COM เป็นโฮสติ้ง?

ตัวจัดการงาน Windows มาตรฐานไม่ให้ข้อมูลเพิ่มเติมเกี่ยวกับวัตถุ COM หรือไฟล์ DLL ที่กระบวนการ COM Surrogate กำลังโฮสต์อยู่ หากคุณต้องการดูข้อมูลนี้เราขอแนะนำเครื่องมือ Process Explorer ของ Microsoft ดาวน์โหลดและคุณสามารถวางเมาส์เหนือกระบวนการ dllhost.exe ใน Process Explorer เพื่อดูว่า COM Object หรือไฟล์ DLL ใดที่โฮสต์อยู่

ดังที่เราเห็นในภาพหน้าจอด้านล่างกระบวนการ dllhost.exe เฉพาะนี้กำลังโฮสต์วัตถุ CortanaMapiHelper.dll

ฉันสามารถปิดการใช้งานได้หรือไม่?

คุณไม่สามารถปิดใช้งานกระบวนการ COM Surrogate ได้เนื่องจากเป็นส่วนที่จำเป็นของ Windows เป็นเพียงกระบวนการคอนเทนเนอร์ที่ใช้เพื่อเรียกใช้วัตถุ COM ที่กระบวนการอื่นต้องการเรียกใช้ ตัวอย่างเช่น Windows Explorer (หรือ File Explorer) จะสร้างกระบวนการ COM Surrogate เป็นประจำเพื่อสร้างภาพขนาดย่อเมื่อคุณเปิดโฟลเดอร์ โปรแกรมอื่น ๆ ที่คุณใช้อาจสร้างกระบวนการ COM Surrogate ของตนเอง กระบวนการ dllhost.exe ทั้งหมดในระบบของคุณเริ่มต้นโดยโปรแกรมอื่นเพื่อทำสิ่งที่โปรแกรมต้องการให้ทำ

มันคือไวรัสหรือไม่?

กระบวนการ COM Surrogate นั้นไม่ใช่ไวรัสและเป็นส่วนปกติของ Windows อย่างไรก็ตามมัลแวร์สามารถใช้งานได้ ตัวอย่างเช่นมัลแวร์ Trojan.Poweliks ใช้กระบวนการ dllhost.exe เพื่อทำงานสกปรก หากคุณเห็นกระบวนการ dllhost.exe จำนวนมากกำลังทำงานอยู่และกำลังใช้ CPU ในปริมาณที่สังเกตเห็นได้นั่นอาจบ่งชี้ว่ากระบวนการ COM Surrogate กำลังถูกไวรัสหรือแอปพลิเคชันที่เป็นอันตรายอื่น ๆ ใช้ในทางที่ผิด

ที่เกี่ยวข้อง: โปรแกรมป้องกันไวรัสที่ดีที่สุดสำหรับ Windows 10 คืออะไร (Windows Defender ดีเพียงพอหรือไม่)

หากคุณกังวลว่ามัลแวร์กำลังใช้กระบวนการ dllhost.exe หรือ COM Surrogate ในทางที่ผิดคุณควรเรียกใช้การสแกนด้วยโปรแกรมป้องกันไวรัสที่คุณต้องการเพื่อค้นหาและลบมัลแวร์ที่มีอยู่ในระบบของคุณ หากโปรแกรมป้องกันไวรัสที่คุณเลือกระบุว่าทุกอย่างเรียบร้อยดี แต่คุณน่าสงสัยให้ทำการสแกนด้วยเครื่องมือป้องกันไวรัสอื่นเพื่อรับความคิดเห็นที่สอง