Čo je conhost.exe a prečo to beží?
Tento článok sa nepochybne číta, pretože ste narazili na proces hostiteľa okna Console (conhost.exe) v Správcovi úloh a zaujímate sa, čo to je. Máme odpoveď pre vás.
Tento článok je súčasťou našej prebiehajúcej série, ktorá vysvetľuje rôzne procesy, ktoré sa nachádzajú v nástroji Správca úloh, ako napríklad svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe a mnoho ďalších. Neviete, aké sú tieto služby? Lepšie čítanie!
Takže čo je hostiteľský proces okna konzoly?
Pochopenie procesu hosťovania okna konzoly vyžaduje trochu histórie. V systéme Windows XP bol príkazový riadok spracovaný procesom nazvaným ClientServer Runtime System Service (CSRSS). Ako naznačuje názov, služba CSRSS bola služba na úrovni systému. To spôsobilo niekoľko problémov. Po prvé, zlyhanie v CSRSS by mohlo znížiť celkový systém, ktorý by odhalil nielen problémy týkajúce sa spoľahlivosti, ale aj možné bezpečnostné zraniteľnosti. Druhým problémom bolo, že CSRSS nemohlo byť témou, pretože vývojári nechcú riskovať kódy tém, ktoré by sa spustili v systémovom procese. Takže príkazový riadok vždy mal klasický vzhľad, a nie používanie nových prvkov rozhrania.
Všimnite si na obrazovke systému Windows XP, že príkazový riadok neobsahuje rovnaký vzhľad ako aplikácia ako Poznámkový blok.
Systém Windows Vista predstavil nástroj Desktop Window Manager - službu, ktorá "kreslí" kompozitné zobrazenia okien na pracovnú plochu, namiesto toho, aby nechala každú jednotlivú aplikáciu zvládnuť samostatne. Príkazový riadok získal z toho nejaké povrchné témy (ako sklený rám v iných oknách), ale prišlo to na úkor toho, že je možné presúvať súbory, text a tak ďalej do okna príkazového riadka.
Napriek tomu, že tematika prebehla až tak ďaleko. Ak sa pozriete na konzolu v systéme Windows Vista, vyzerá to, že používa rovnakú tému ako všetko ostatné, ale všimnete si, že posúvače stále používajú starý štýl. Dôvodom je, že Správca okien v okne spracováva kreslenie titulných pruhov a rámcov, ale staromódne okno CSRSS stále sedí vo vnútri.
Prejdite do systému Windows 7 a do programu Host Console Window Host. Ako to naznačuje názov, jeho hostiteľský proces pre okno konzoly. Procesný druh sedí uprostred medzi CSRSS a príkazovým riadkom (cmd.exe), čo umožňuje systému Windows opraviť oba predchádzajúce prvky rozhrania problémov, ako sú posuvné lišty správne kresliť a môžete opäť presunúť myšou do príkazového riadka. A to je metóda, ktorá sa stále používa v systéme Windows 8 a 10, čo umožňuje všetky nové prvky rozhrania a štýl, ktoré prišli od Windows 7.
Aj keď Správca úloh prezentuje Host Console Window ako samostatnú entitu, stále je úzko spojený so CSRSS. Ak skontrolujete proces procesu conhost.exe v programe Process Explorer, uvidíte, že skutočne beží pod procesom csrss.ese.
Hostiteľ okna Konzola je nakoniec podobný shellu, ktorý zachováva silu spustenia služby na úrovni systému, ako je CSRSS, zatiaľ čo bezpečne a spoľahlivo poskytuje možnosť integrácie moderných prvkov rozhrania.
Prečo existuje niekoľko inštancií procesu?
Často uvidíte niekoľko inštancií procesu Hostiteľ okna okna konzoly, ktorý sa spúšťa v Správcovi úloh. Každá inštancia spustenia príkazového riadku vytvorí vlastný proces hostiteľa okna konzoly. Okrem toho ostatné aplikácie, ktoré využívajú príkazový riadok, vytvoria vlastný proces Konzoly systému Windows - dokonca aj v prípade, že sa pre ne nezobrazuje aktívne okno. Dobrým príkladom je aplikácia Plex Media Server, ktorá beží ako aplikácia na pozadí a používa príkazový riadok na sprístupnenie ostatným zariadeniam v sieti.
Mnohé aplikácie na pozadí pracujú týmto spôsobom, takže nie je nezvyčajné vidieť viaceré inštancie procesu Host Console Window Host spusteného v akomkoľvek okamihu. Toto je normálne správanie. Väčšina procesov by mala zaberať veľmi malú pamäť (zvyčajne menej ako 10 MB) a takmer nulovú CPU, pokiaľ proces nie je aktívny.
Ak spozorujete, že niektorá inštancia hostiteľa okna konzoly alebo súvisiaca služba spôsobuje problémy, napríklad neustále nadmerné využívanie procesora alebo pamäte RAM, môžete skontrolovať konkrétne aplikácie, ktoré sa to týkajú. To vám môže aspoň poskytnúť predstavu o tom, kde začať riešiť problémy. Bohužiaľ správca úloh sám o tom neposkytuje dobré informácie. Dobrou správou je, že spoločnosť Microsoft poskytuje vynikajúci pokročilý nástroj na prácu s procesmi ako súčasť svojej zostavy Sysinternals. Stačí prevziať aplikáciu Process Explorer a spustiť ju - je to prenosná aplikácia, takže ju nemusíte inštalovať. Program Process Explorer poskytuje všetky druhy pokročilých funkcií - a veľmi odporúčame, aby ste si prečítali náš návod na pochopenie Process Explorer, aby ste sa dozvedeli viac.
Najjednoduchší spôsob sledovania týchto procesov v Process Explorer je najprv stlačiť Ctrl + F na spustenie vyhľadávania. Vyhľadajte výraz "conhost" a potom kliknite na výsledok. Tak ako to robíte, zobrazí sa zmena hlavného okna, aby ste zobrazili aplikáciu (alebo službu) priradenú k tejto konkrétnej inštancii aplikácie Host Console Window.
Ak používanie CPU alebo pamäte RAM naznačuje, že ide o príčinu, ktorá spôsobuje problémy, aspoň ste ju zúžili na určitú aplikáciu.
Mohol by tento proces byť vírusom?
Samotný proces je oficiálnou súčasťou systému Windows. Aj keď je možné, že vírus nahradil skutočný Host Console Window s vlastným spustiteľným súborom, je to nepravdepodobné. Ak by ste chceli byť istí, môžete si pozrieť základné umiestnenie súboru procesu. V Správcovi úloh kliknite pravým tlačidlom myši na akýkoľvek servisný proces a zvoľte možnosť "Otvoriť umiestnenie súboru".
Ak je súbor uložený vo vašom Windows \ System32
priečinok, môžete si byť istí, že nemáte vírus.
Existuje v skutočnosti trójsky kôň s názvom Conhost Miner, ktorý sa maskuje ako hostiteľský proces konzoly. V Správcovi úloh sa zdá, že je rovnako ako skutočný proces, ale trochu kopanie odhalí, že je skutočne uložený v % USERPROFILE% \ AppData \ Roaming \ Microsoft
skôr ako priečinok Windows \ System32
zložky. Trójsky kôň je vlastne používaný na unášanie počítača do mojich Bitcoinov, takže ďalšie správanie, ktoré si všimnete, ak je nainštalované vo vašom systéme, je, že využitie pamäte je vyššie, ako by ste mohli očakávať a používanie CPU sa udržiava na veľmi vysokých úrovniach 80%).
Samozrejme, používanie dobrého vírusového skenera je najlepší spôsob, ako zabrániť (a odstrániť) škodlivý softvér, ako je Conhost Miner, a je to niečo, čo by ste mali robiť. Istota je istota!