คุณเคยสังเกต COM Surrogate . ไหม กระบวนการในตัวจัดการงาน Windows 10? ฉันกำลังเรียกดูรายการกระบวนการและสังเกตเห็นกระบวนการสองกระบวนการทำงานอยู่บนระบบของฉัน
การทำความเข้าใจกระบวนการต่าง ๆ ในตัวจัดการงานนั้นค่อนข้างท้าทาย ฉันได้เขียนโพสต์โดยละเอียดเกี่ยวกับ svchost.exe ซึ่งเป็นกระบวนการที่โฮสต์บริการต่างๆ ของ Windows อาจมีสิ่งเหล่านี้ทำงานอยู่ 10 ถึง 15 รายการบนระบบของคุณในเวลาใดก็ตาม
ในบทความนี้ ผมจะอธิบายคร่าวๆ ว่า COM Surrogate คืออะไรใน Windows 10 และคุณต้องกังวลเรื่องนี้หรือไม่
COM Surrogate คืออะไร
COM Surrogate เป็นหนึ่งในกระบวนการที่คุณไม่รู้จริงๆ ว่ามันทำอะไรเมื่อดูจากมัน มันไม่มีไอคอนที่กำหนดเองและนั่งอยู่ที่นั่นโดยไม่ได้ให้ข้อมูลมากมายเกี่ยวกับสิ่งที่มันทำ
บางครั้ง มีกระบวนการตัวแทนเสมือนหลายตัวที่ทำงานพร้อมกัน หากคุณไปที่ตัวจัดการงาน ปกติคุณจะเห็นสองคนทำงานอยู่
หากคุณคลิกขวาและเลือก ไปที่รายละเอียด คุณจะเห็นว่าชื่อกระบวนการจริงๆ แล้วคือ dllhost.exe นอกจากนี้ คุณจะสังเกตเห็นว่ากระบวนการทำงานภายใต้ชื่อผู้ใช้ของคุณ ไม่ใช่ ระบบ หรือ บริการในพื้นที่ หรือบริการเครือข่าย บัญชีอิเล็กทรอนิกส์
โชคดีที่ COM Surrogate ไม่ใช่ไวรัส (โดยส่วนใหญ่) เป็นกระบวนการ Windows 10 ที่ถูกต้องตามกฎหมายที่ทำงานอยู่เบื้องหลัง เรียกว่า dllhost เนื่องจากกระบวนการนี้โฮสต์ไฟล์ DLL นั่นอาจไม่สมเหตุสมผล ดังนั้นเรามาอธิบายให้ละเอียดกว่านี้กัน
โดยทั่วไป Microsoft ได้สร้างอินเทอร์เฟซสำหรับนักพัฒนาเพื่อสร้างส่วนขยายของโปรแกรมที่เรียกว่า COM Objects ใช้สำหรับบางโปรแกรมใน Windows 10 ด้วย ตัวอย่างเช่น Windows Explorer มีวัตถุ COM ที่อนุญาตให้สร้างภาพขนาดย่อสำหรับรูปภาพและวิดีโอในโฟลเดอร์
อย่างไรก็ตาม ปัญหาใหญ่ของออบเจ็กต์ COM เหล่านี้คือวัตถุเหล่านั้นจะขัดข้องและทำให้กระบวนการ Explorer ล่มด้วย นั่นหมายความว่าทั้งระบบของคุณจะพังถ้าวัตถุ COM ล้มเหลวด้วยเหตุผลใดก็ตาม
ในการแก้ไขปัญหานี้ Microsoft ได้จัดทำ COM Surrogate กระบวนการที่รันอ็อบเจ็กต์ COM โดยทั่วไปในกระบวนการที่แยกต่างหากจากกระบวนการที่ร้องขอ ดังนั้น ในตัวอย่าง Explorer วัตถุ COM จะไม่ทำงานในกระบวนการ explorer.exe แต่อยู่ในกระบวนการตัวแทนเสมือน COM ที่สร้างขึ้นใหม่นี้แทน
ตอนนี้ ถ้าวัตถุ COM ขัดข้อง มันจะนำเฉพาะกระบวนการตัวแทนเสมือนออกเท่านั้น และ Explorer จะทำงานต่อไป ฉลาดมากใช่มั้ย
ที่จริงแล้ว หากคุณดาวน์โหลด Process Explorer คุณจะเห็นอ็อบเจ็กต์ COM ที่ฉันอ้างถึงด้านบน
หากคุณวางเมาส์เหนือรายการ dllhost.exe คุณจะเห็นคลาส COM คือ Microsoft Thumbnail Cache ซึ่งเป็นส่วนขยายที่ใช้สร้างภาพขนาดย่อใน Explorer
COM Surrogate สามารถเป็นไวรัสได้หรือไม่
ในอดีตเคยมีกรณีที่โทรจันและไวรัสซ่อนอยู่ในระบบปฏิบัติการ Windows โดยการปลอมตัวเป็น COM Surrogate และกระบวนการ Windows อื่นๆ
หากคุณเปิดตัวจัดการงาน ให้คลิกขวาที่กระบวนการและเลือก เปิดตำแหน่งไฟล์ คุณจะสามารถค้นหาตำแหน่งต้นทางสำหรับกระบวนการได้
หากกระบวนการตัวแทนเสมือนนำไปสู่ไฟล์ชื่อ 'dllhost' ใน C:\Windows\System3 2 โฟลเดอร์ไม่น่าจะติดไวรัสนะครับ หากนำไปสู่ที่อื่น คุณควรเรียกใช้การสแกนไวรัสทันที
โดยปกติ ตัวแทนเสมือน COM จะใช้หน่วยความจำและ CPU น้อยมาก และมีเพียงหนึ่งหรือสองอินสแตนซ์ที่ทำงานอยู่ หากมีกระบวนการ dllhosts.exe จำนวนมาก หรือกระบวนการนี้กิน CPU ของคุณมากกว่า 1 ถึง 2 เปอร์เซ็นต์ ฉันขอแนะนำให้ทำการสแกนไวรัสแบบออฟไลน์ ซึ่งสามารถตรวจจับไวรัสที่ซ่อนอยู่ได้ดีกว่า
หวังว่าการอ่านบทความนี้จะสอนคุณเกี่ยวกับ COM Surrogate และกระบวนการเบื้องหลังของ Windows 10 ต่อจากนี้ไป คุณควรกังวลน้อยลงว่าจะเห็นกระบวนการทำงานในลักษณะนี้ในเบื้องหลัง
หากคุณยังคงมีคำถาม แสดงความคิดเห็นและเราจะพยายามช่วยเหลือ สนุก!