在我的 Windows 10 Home x64 计算机上,我注意到一个未知实例dllhost.exe占用了大量 CPU。经过进一步检查,我发现它有一个线程占用了大部分 CPU 时间。以下是线程堆栈:
根据进一步的挖掘,这个特定的 DLL 是一个微软签名的 DLL,名为“Media Foundation MKV Media Source and Sink DLL”。如果我查看该进程的文件句柄,它会打开一个文件句柄,指向我的用户目录中的视频文件,具体来说,是我的一个虚拟机的 .webm 视频捕获。
这是某种恶意软件吗?它隐藏在合法的 Windows DLL 后面,使用了某种 COM 接口?或者这是合法的 Windows 函数?如果是这样,它会对我的视频文件做什么?
答案1
这是 COM Surrogate,也许 Windows 资源管理器尝试提取视频的缩略图或其他属性?
您可以在这里了解有关 COM Surrogate 的更多信息:https://devblogs.microsoft.com/oldnewthing/20090212-00/?p=19173
基本上:
例如,Explorer 在提取缩略图时使用 COM Surrogate。如果您转到启用了缩略图的文件夹,Explorer 将触发 COM Surrogate 并使用它来计算文件夹中文档的缩略图。它这样做是因为 Explorer 已经学会不信任缩略图提取器;它们的稳定性记录不佳。Explorer 决定承受性能损失以换取更高的可靠性,从而将这些不可靠的代码移出主 Explorer 进程。当缩略图提取器崩溃时,崩溃会破坏 COM Surrogate 进程而不是 Explorer。