Начална » как да » Какво е conhost.exe и защо се изпълнява?

    Какво е conhost.exe и защо се изпълнява?

    Няма съмнение, че прочетете тази статия, защото сте се натъкнали на процеса на Host Console Window (conhost.exe) в Task Manager и се чудите какво е то. Имаме отговор за вас.

    Тази статия е част от текущата ни серия, в която се описват различни процеси, открити в Task Manager, като svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и много други. Не знаете какви са тези услуги? По-добре започнете да четете!

    И така, какво е процесът на хост конзолата?

    Разбиране на прозореца на конзолата Процесът на хост изисква малко история. В дните на Windows XP командният ред се обработва от процес, наречен ClientServer Runtime System Service (CSRSS). Както подсказва името, CSRSS е услуга на системно ниво. Това създаде няколко проблема. Първо, катастрофата в CSRSS може да свали цяла система, която разкрива не само проблеми с надеждността, но и възможни уязвимости в сигурността. Вторият проблем беше, че CSRSS не можеше да бъде тематизиран, защото разработчиците не искаха да рискуват кода на темата, за да работят в системен процес. Така че командният ред винаги е имал класически поглед, а не използване на нови елементи на интерфейса.

    Обърнете внимание на снимката на екрана на Windows XP по-долу, че командният ред не получава същия стил като приложение като Notepad.

    Windows Vista въвежда Desktop Window Manager - услуга, която „рисува“ композитни изгледи на прозорци върху работния плот, вместо да оставя на всеки отделен апарат да се справя сам с това. Командният ред придоби някаква повърхностна тематика от това (подобно на стъкления кадър, наличен в други прозорци), но за сметка на това е възможно да плъзгате и пускате файлове, текст и т.н. в прозореца на командния ред..

    Все пак, че тематизирането е стигнало толкова далеч. Ако погледнете конзолата в Windows Vista, изглежда, че използва същата тема като всичко останало, но ще забележите, че лентите за превъртане все още използват стария стил. Това е така, защото мениджърът на работния плот на работния плот се справя с изчертаването на заглавните ленти и рамката..

    Влезте в Windows 7 и в процеса на конзолата. Както подсказва името, това е хост процес за прозореца на конзолата. Процесът е в средата между CSRSS и Command Prompt (cmd.exe), което позволява на Windows да коригира и двата предишни елемента за интерфейс, като лентите за превъртане се изчертават правилно и можете отново да плъзгате и пуснете в командния ред. И това е методът, който все още се използва в Windows 8 и 10, позволявайки всички нови елементи на интерфейса и стил, които се появиха след Windows 7.

    Въпреки че диспечера на задачите представя Host Host Window като отделен обект, той все още е тясно свързан с CSRSS. Ако проверите процеса conhost.exe в Process Explorer, можете да видите, че той действително се изпълнява в процеса csrss.ese.

    В крайна сметка, Host Console Window е нещо като черупката, която поддържа силата на работа на системно ниво като CSRSS, като все още сигурно и надеждно дава възможност за интегриране на модерни интерфейсни елементи.

    Защо има няколко екземпляра от процеса?

    Често ще видите няколко копия на процеса на хост конзолния прозорец, изпълняван в диспечера на задачите. Всеки екземпляр на изпълнение на командния ред ще създаде свой собствен процес на хост конзолен прозорец. В допълнение, други приложения, които използват командния ред, ще създадат свой собствен процес на хост конзолата на Windows - дори ако не виждате активен прозорец за тях. Добър пример за това е приложението Plex Media Server, което работи като фоново приложение и използва командния ред, за да стане достъпен за други устройства в мрежата ви.

    Много приложения за фон работят по този начин, така че не е необичайно да виждате няколко копия на процеса на хост конзолния прозорец да се изпълняват по всяко време. Това е нормално поведение. В по-голямата си част всеки процес трябва да заема много малко памет (обикновено под 10 MB) и почти нулев CPU, освен ако процесът е активен.

    Въпреки това, ако забележите, че конкретен случай на Host-Window Host или свързана услуга причинява проблеми, като непрекъснато прекомерно използване на CPU или RAM, можете да проверите в конкретните приложения, които са включени. Това поне може да ви даде представа къде да започнете да отстранявате проблеми. За съжаление самият Task Manager не дава добра информация за това. Добрата новина е, че Microsoft предоставя отличен съвременен инструмент за работа с процесите като част от състава на Sysinternals. Просто изтеглете Process Explorer и го стартирайте - това е преносимо приложение, така че няма нужда да го инсталирате. Process Explorer предоставя всички видове разширени функции - и ние силно препоръчваме да прочетете нашето ръководство за разбиране на Process Explorer, за да научите повече.

    Най-лесният начин да следите тези процеси в Process Explorer е първо да натиснете Ctrl + F, за да започнете търсене. Търсете „conhost“ и след това кликнете върху резултатите. Както го правите, ще видите основната промяна на прозореца, за да ви покаже приложението (или услугата), свързано с този конкретен случай на хост конзолния прозорец.

    Ако използването на CPU или RAM показва, че това е инстанцията, която причинява проблеми, то поне сте го стеснили до определено приложение.

    Може ли този процес да бъде вирус?

    Самият процес е официален компонент на Windows. Макар че е възможно един вирус да е заменил реалния хост с конзолния прозорец със собствена изпълнима програма, това е малко вероятно. Ако искате да сте сигурни, можете да проверите основното местоположение на файла в процеса. В диспечера на задачите щракнете с десния бутон на мишката върху някой от хостовете на услугата и изберете опцията „Отвори мястото на файла“.

    Ако файлът се съхранява във вашия Windows \ System32 можете да бъдете доста сигурни, че не се занимавате с вирус.

    Всъщност има троянски кон, наречен Conhost Miner, който се маскира като процес на Host Console Window. В диспечера на задачите тя изглежда точно като истинския процес, но малко копаене ще разкрие, че всъщност се съхранява в % Профил_на_потребител% \ AppData \ Roaming \ Microsoft вместо папка Windows \ System32 папка. Всъщност троянският кон е използван за отвличане на вашия компютър, за да изтрие биткоините, така че другото поведение, което ще забележите, ако е инсталирано на вашата система е, че използването на паметта е по-високо, отколкото бихте очаквали, и използването на процесора се поддържа на много високи нива (често над 80%).

    Разбира се, използването на добър вирусен скенер е най-добрият начин за предотвратяване (и премахване) на зловреден софтуер като Conhost Miner и това е нещо, което трябва да правите така или иначе. По-безопасно, отколкото съжалявам!