COM Surrogate ใน Windows 10 คืออะไรและเป็นไวรัสหรือไม่?

คุณเคยสังเกต กระบวนการ COM Surrogateในตัว จัดการงาน Windows 10หรือไม่? ฉันกำลังเรียกดูรายการกระบวนการและสังเกตเห็นกระบวนการสองกระบวนการทำงานบนระบบของฉัน

การทำความเข้าใจกระบวนการต่าง ๆ ในตัวจัดการงานนั้นค่อนข้างท้าทาย ฉันได้เขียนโพสต์โดยละเอียดเกี่ยวกับsvchost.ex e ซึ่งเป็นกระบวนการที่โฮสต์บริการต่างๆ ของWindows สามารถมีได้ 10 ถึง 15 รายการที่ทำงานอยู่บนระบบของคุณได้ตลอดเวลา

ในบทความนี้ ผมจะให้คุณดูคร่าวๆ ว่าCOM SurrogateคืออะไรในWindows 10และคุณจะต้องกังวลเกี่ยวกับเรื่องนี้หรือไม่

COM ตัวแทนคืออะไร?

COM Surrogateเป็นหนึ่งในกระบวนการที่คุณไม่รู้จริงๆ ว่ามันทำอะไรเมื่อดูจากมัน มันไม่มีไอคอนที่กำหนดเองและนั่งอยู่ที่นั่นโดยไม่ได้ให้ข้อมูลมากมายเกี่ยวกับสิ่งที่มันทำ

บางครั้ง มีกระบวนการตัวแทนเสมือน หลายตัวที่ทำงานพร้อมกัน (COM Surrogate)หากคุณไปที่ตัวจัดการงาน ปกติคุณจะเห็นสองคนทำงานอยู่

หากคุณคลิกขวาและเลือกGo to Detailsคุณจะเห็นว่าชื่อกระบวนการจริงๆ แล้วคือ dllhost.exe นอกจากนี้ คุณจะสังเกตเห็นว่ากระบวนการทำงานภายใต้ชื่อผู้ใช้ของคุณ ไม่ใช่บัญชีระบบหรือ(System)บริการในพื้นที่(Local Service)หรือ บริการ เครือข่าย( Network Servic)

โชคดีที่COM Surrogateไม่ใช่ไวรัส (โดยส่วนใหญ่) เป็น กระบวนการ Windows 10 ที่ถูกต้องตามกฎหมาย ที่ทำงานอยู่เบื้องหลัง เรียกว่า dllhost เนื่องจากกระบวนการนี้โฮสต์ไฟล์DLL นั่นอาจไม่สมเหตุสมผล ดังนั้นเรามาอธิบายให้ละเอียดยิ่งขึ้น

โดยทั่วไปMicrosoftได้สร้างอินเทอร์เฟซสำหรับนักพัฒนาเพื่อสร้างส่วนขยายของโปรแกรมที่เรียกว่าCOM Objects ใช้สำหรับบางโปรแกรมในWindows 10ด้วย ตัวอย่างเช่นWindows Explorerมี วัตถุ COMที่อนุญาตให้สร้างรูปขนาดย่อสำหรับรูปภาพและวิดีโอในโฟลเดอร์

อย่างไรก็ตาม ปัญหาใหญ่ของอ อบเจ็กต์ COM เหล่านี้ คือวัตถุเหล่านั้นจะขัดข้องและทำให้ กระบวนการ Explorerล่มด้วย นั่นหมายความว่าทั้งระบบของคุณจะพังถ้า วัตถุ COMล้มเหลวด้วยเหตุผลใดก็ตาม

ในการแก้ไขปัญหานี้Microsoftได้ใช้ กระบวนการ ตัวแทนเสมือน(COM Surrogate)ซึ่งโดยทั่วไปจะเรียกใช้ วัตถุ COMในกระบวนการที่แยกต่างหากจากกระบวนการที่ร้องขอ ดังนั้น ในตัวอย่างExplorer วัตถุ (Explorer)COMจะไม่ทำงานในกระบวนการ explorer.exe แต่อยู่ในกระบวนการตัวแทนCOM ที่สร้างขึ้นใหม่นี้แทน(COM)

ตอนนี้ ถ้า วัตถุ COMขัดข้อง มันจะนำเฉพาะ กระบวนการ ตัวแทนเสมือน(COM Surrogate) ออกเท่านั้น และExplorerจะทำงานต่อไป ค่อนข้าง(Pretty)ฉลาดใช่มั้ย?

ที่จริงแล้ว หากคุณดาวน์โหลดProcess Explorerคุณจะเห็น อ็อบเจ็กต์ COMที่ฉันอ้างถึงข้างต้น

หากคุณวางเมาส์เหนือรายการ dllhost.exe คุณจะเห็น คลาส COMคือMicrosoft Thumbnail Cacheซึ่งเป็นส่วนขยายที่ใช้สร้างภาพขนาดย่อในExplorer

COM Surrogate สามารถเป็นไวรัสได้หรือไม่?

ในอดีตมีกรณีที่โทรจันและไวรัสซ่อนอยู่ใน ระบบปฏิบัติการ Windowsโดยปิดบังตัวเองเป็นCOM SurrogateและกระบวนการWindows อื่นๆ(Windows)

หากคุณเปิดตัวจัดการงาน ให้คลิกขวาที่กระบวนการและเลือกเปิดตำแหน่งไฟล์(Open file location)คุณจะพบตำแหน่งต้นทางสำหรับกระบวนการ

หาก กระบวนการ ตัวแทน(COM Surrogate)เสมือนนำไปสู่ไฟล์ชื่อ 'dllhost' ในโฟลเดอร์C:\Windows\System3 2 ไม่น่าจะเกิดจากไวรัส หากนำไปสู่ที่อื่น คุณควรเรียกใช้การสแกนไวรัสทันที

โดยปกติตัวแทนเสมือนCOM จะใช้หน่วยความจำและ (COM)CPU น้อยมาก และมีเพียงหนึ่งหรือสองอินสแตนซ์ที่ทำงานอยู่ หากมีกระบวนการ dllhosts.exe จำนวนมาก หรือกระบวนการนี้กิน CPU(CPU)ของคุณมากกว่า 1 ถึง 2 เปอร์เซ็นต์ฉันขอแนะนำให้ทำการสแกนไวรัสแบบออฟไลน์ซึ่งสามารถตรวจจับไวรัสที่ซ่อนอยู่ได้ดีกว่า

หวังว่า(Hopefully)การอ่านบทความนี้จะสอนคุณเกี่ยวกับCOM Surrogateและกระบวนการเบื้องหลังของWindows 10 ต่อจากนี้ไป คุณควรกังวลน้อยลงว่าจะเห็นกระบวนการทำงานในลักษณะนี้ในเบื้องหลัง

หากคุณยังคงมีคำถาม แสดงความคิดเห็นและเราจะพยายามช่วยเหลือ สนุก!



ธเนศ รุจิอาภรณ์

About the author

ฉันเป็นผู้เชี่ยวชาญด้านการสนับสนุนลูกค้า windows 10/11/10 ที่มีประสบการณ์มากกว่า 5 ปี ฉันยังเป็นนักเล่นเกมตัวยงในช่วงไม่กี่ปีที่ผ่านมาและมีความสนใจอย่างมากใน xbox One จุดสนใจปัจจุบันของฉันคือการช่วยเหลือลูกค้าเกี่ยวกับปัญหาที่เกิดขึ้นกับระบบ windows 10 หรือ Windows 11 บ่อยครั้งผ่านการใช้เครื่องมือบริการลูกค้าของเรา เช่น การสนับสนุนคอลเซ็นเตอร์และความช่วยเหลือออนไลน์


Related posts