这个 dllhost.exe 进程对我的视频文件做了什么?

这个 dllhost.exe 进程对我的视频文件做了什么?

在我的 Windows 10 Home x64 计算机上,我注意到一个未知实例dllhost.exe占用了大量 CPU。经过进一步检查,我发现它有一个线程占用了大部分 CPU 时间。以下是线程堆栈:

突出显示 mfmkvsrcsnk.dll 的线程堆栈

根据进一步的挖掘,这个特定的 DLL 是一个微软签名的 DLL,名为“Media Foundation MKV Media Source and Sink DLL”。如果我查看该进程的文件句柄,它会打开一个文件句柄,指向我的用户目录中的视频文件,具体来说,是我的一个虚拟机的 .webm 视频捕获。

在此处输入图片描述

这是某种恶意软件吗?它隐藏在合法的 Windows DLL 后面,使用了某种 COM 接口?或者这是合法的 Windows 函数?如果是这样,它会对我的视频文件做什么?

答案1

这是 COM Surrogate,也许 Windows 资源管理器尝试提取视频的缩略图或其他属性?

您可以在这里了解有关 COM Surrogate 的更多信息:https://devblogs.microsoft.com/oldnewthing/20090212-00/?p=19173

基本上:

例如,Explorer 在提取缩略图时使用 COM Surrogate。如果您转到启用了缩略图的文件夹,Explorer 将触发 COM Surrogate 并使用它来计算文件夹中文档的缩略图。它这样做是因为 Explorer 已经学会不信任缩略图提取器;它们的稳定性记录不佳。Explorer 决定承受性能损失以换取更高的可靠性,从而将这些不可靠的代码移出主 Explorer 进程。当缩略图提取器崩溃时,崩溃会破坏 COM Surrogate 进程而不是 Explorer。

相关内容