Mikä on conhost.exe ja miksi se toimii?
Olet epäilemättä lukenut tämän artikkelin, koska olet törmännyt Console Window Host (conhost.exe) -prosessiin Task Managerissa ja ihmettelet, mikä se on. Meillä on vastaus sinulle.
Tämä artikkeli on osa meneillään olevaa sarjaa, jossa selitetään Task Managerin eri prosesseja, kuten svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe ja monet muut. En tiedä mitä nämä palvelut ovat? Parempi lukeminen!
Joten mikä on konsolin ikkunan isäntäprosessi?
Konsolin ikkunan isäntäprosessin ymmärtäminen vaatii hieman historiaa. Windows XP -päivinä komentorivi käsiteltiin prosessissa, jonka nimi oli ClientServer Runtime System Service (CSRSS). Kuten nimestä käy ilmi, CSRSS oli järjestelmän tason palvelu. Tämä loi pari ongelmaa. Ensinnäkin CSRSS: n kaatuminen voisi alentaa koko järjestelmän, joka ei paljastanut pelkästään luotettavuusongelmia, vaan myös mahdollisia turvallisuushaavoja. Toinen ongelma oli se, että CSRSS: ää ei voitu teemoittaa, koska kehittäjät eivät halunneet kohdella koodikoodia ajaa järjestelmän prosessissa. Niinpä komentokehotteella oli aina klassinen ulkoasu kuin uusien käyttöliittymäelementtien käyttäminen.
Huomaa Windows XP: n kuvakaappauksessa, että komentorivi ei saa samaa muotoilua kuin Notepad-sovellus.
Windows Vista esitteli Desktop Window Manager -palvelun, joka "yhdistää" ikkunanäkymiä työpöydälle sen sijaan, että kukin yksittäinen sovellus käsittelee itseään. Komentokehote sai tästä pintapuolisen teeman (kuten muissa ikkunoissa olevan lasimaisen kehyksen), mutta se aiheutui siitä, että tiedostoja, tekstiä ja niin edelleen voitiin vetää ja pudottaa komentorivi-ikkunaan.
Silti, että ne menivät vain niin pitkälle. Jos tarkastelet Windows Vistan konsolia, näyttää siltä, että se käyttää samaa teemaa kuin kaikkea muuta, mutta huomaat, että vierityspalkit käyttävät edelleen vanhaa tyyliä. Tämä johtuu siitä, että Desktop Window Manager käsittelee otsikkorivien ja kehyksen piirtämistä, mutta vanhanaikainen CSRSS-ikkuna on edelleen sisällä.
Anna Windows 7 ja Console Window Host -prosessi. Kuten nimi viittaa, sen isäntäprosessi konsolin ikkunalle. Prosessityyppi istuu CSRSS: n ja komentokehotteen (cmd.exe) keskellä, jolloin Windows voi korjata molemmat aiemmat ongelmat-rajapintaelementit, kuten vierityspalkit piirtää oikein, ja voit vetää ja pudottaa uudelleen komentokehotteeseen. Ja se on menetelmä, jota käytetään edelleen Windows 8: ssa ja 10: ssä, jolloin kaikki uudet käyttöliittymäelementit ja -tyylit ovat tulleet Windows 7: n jälkeen.
Vaikka Task Manager esittelee konsolin ikkunan isäntä erillisenä kokonaisuutena, se on edelleen läheisesti yhteydessä CSRSS: ään. Jos tarkistat conhost.exe-prosessin prosessinhallinnassa, näet, että se toimii csrss.ese-prosessin alla.
Lopulta konsolin ikkuna-isäntä on sellainen kuori, joka ylläpitää voimaa käyttää järjestelmätason palvelua, kuten CSRSS: ää, samalla kun se antaa edelleen turvallisen ja luotettavan mahdollisuuden integroida nykyaikaiset käyttöliittymäelementit.
Miksi prosessin juoksu on useita?
Näet usein useita esimerkkejä Console Window Host -prosessista Task Managerissa. Jokainen Command Prompt -käytännön esiintymä tuottaa oman konsoliikkunan isäntäprosessin. Lisäksi muut komentoriviä käyttävät sovellukset tuovat oman konsolin Windows-isäntäprosessin, vaikka et näe heille aktiivista ikkunaa. Hyvä esimerkki tästä on Plex Media Server -sovellus, joka toimii tausta-sovelluksena ja käyttää komentoriviä, jotta se on saatavilla muille verkon laitteille.
Monet taustasovellukset toimivat tällä tavalla, joten ei ole harvinaista nähdä useita konsoli-ikkunan isäntäprosessin esiintymiä milloin tahansa. Tämä on normaalia käyttäytymistä. Suurimmassa osassa jokaisen prosessin tulisi kestää hyvin vähän muistia (tavallisesti alle 10 Mt) ja lähes nolla CPU: ta, ellei prosessi ole aktiivinen.
Tämä tarkoittaa, että jos huomaat, että tietty konsolin ikkunan isäntä- tai siihen liittyvä palvelu aiheuttaa haittaa, kuten jatkuva liiallinen CPU- tai RAM-käyttö, voit tarkistaa mukana olevat sovellukset. Se voi ainakin antaa sinulle käsityksen siitä, mistä aloittaa vianmääritys. Valitettavasti Task Manager itse ei anna hyvää tietoa tästä. Hyvä uutinen on, että Microsoft tarjoaa erinomaisen kehittyneen työkalun prosessien käsittelyyn osana Sysinternalsin kokoonpanoa. Lataa vain Process Explorer ja suorita se se on kannettava sovellus, joten sitä ei tarvitse asentaa. Process Explorer tarjoaa kaikenlaisia edistyksellisiä ominaisuuksia, ja suosittelemme lukemaan opas, jolla ymmärrät Process Explorerin oppia lisää.
Helpoin tapa seurata näitä prosesseja Process Explorerissa on ensin napsauttaa Ctrl + F aloittaaksesi haun. Etsi “conhost” ja napsauta sitten tuloksia. Näet pääikkunan muutoksen näyttääkseen sovelluksen (tai palvelun), joka liittyy kyseiseen Console Window Hostin esiintymään.
Jos CPU- tai RAM-käyttö osoittaa, että kyseessä on ongelma, sinun on vähennettävä ainakin tietty sovellus.
Voisiko tämä prosessi olla virus?
Itse prosessi on virallinen Windows-komponentti. Vaikka on mahdollista, että virus on korvannut todellisen konsoliikkunan isännän omalla suoritettavallaan, se on epätodennäköistä. Jos haluat olla varma, voit tarkistaa prosessin taustalla olevan sijainnin. Napsauta Tehtävienhallinnassa hiiren kakkospainikkeella mitä tahansa Service Host -prosessia ja valitse "Avaa tiedoston sijainti" -vaihtoehto.
Jos tiedosto on tallennettu Windows \ System32
kansio, voit olla melko varma, ettet käsittele virusta.
Itse asiassa siellä on troijalainen nimeltään Conhost Miner, joka naamioi konsolin ikkunan isäntäprosessiin. Tehtävienhallinnassa se näyttää aivan kuten todellinen prosessi, mutta pieni kaivaminen paljastaa, että se on todella tallennettu % USERPROFILE% \ AppData \ Roaming \ Microsoft
kansiota pikemminkin kuin Windows \ System32
kansio. Troijalaista käytetään tosiasiallisesti kaappaamaan tietokoneesi Bitcoinsiin, joten toinen käyttäytyminen, jonka huomaat, jos se on asennettu järjestelmään, on se, että muistin käyttö on korkeampi kuin saatat odottaa ja CPU: n käyttö säilyy erittäin korkealla tasolla (usein edellä). 80%).
Hyvä virusskanneri on tietysti paras tapa estää (ja poistaa) haittaohjelmia, kuten Conhost Miner, ja se on jotain, jota sinun pitäisi tehdä joka tapauksessa. Parempi katsoa kuin katua!