Что такое conhost.exe и почему он работает?

Вы, несомненно, читаете эту статью, потому что наткнулись на процесс хоста окна консоли (conhost.exe) в диспетчере задач и задаетесь вопросом, что это такое. У нас есть ответ для вас.

Эта статья является частью нашей продолжающейся серии статей, объясняющих различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начать читать!

Что такое хост-процесс в окне консоли?

Понимание процесса хоста окна консоли требует немного истории. В дни Windows XP командная строка обрабатывалась процессом, называемым системной службой времени выполнения ClientServer (CSRSS). Как следует из названия, CSRSS был сервисом системного уровня. Это создало пару проблем. Во-первых, сбой в CSRSS может привести к выходу из строя всей системы, что выявит не только проблемы с надежностью, но и возможные уязвимости в безопасности. Вторая проблема заключалась в том, что CSRSS не мог быть тематическим, потому что разработчики не хотели рисковать темой кода для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, а не с использованием новых элементов интерфейса.

Обратите внимание, что на снимке экрана Windows XP ниже командная строка не имеет такой же стиль, как приложение, такое как Блокнот.

В Windows Vista появился диспетчер окон рабочего стола — сервис, который «рисует» составные виды окон на вашем рабочем столе, а не позволяет каждому отдельному приложению обрабатывать его самостоятельно. Командная строка получила от этого поверхностное оформление (например, стеклянная рамка в других окнах), но за счет возможности перетаскивать файлы, текст и т. Д. В окно командной строки.

Тем не менее, эта тема зашла так далеко. Если вы посмотрите на консоль в Windows Vista, похоже, что она использует ту же тему, что и все остальное, но вы заметите, что полосы прокрутки все еще используют старый стиль. Это связано с тем, что менеджер окон рабочего стола обрабатывает рисование строк заголовка и фрейма, но старомодное окно CSRSS по-прежнему находится внутри.

Войдите в Windows 7 и запустите процесс консоли окна. Как следует из названия, это хост-процесс для окна консоли. Этот процесс находится посередине между CSRSS и командной строкой (cmd.exe), что позволяет Windows исправить обе предыдущие проблемы — элементы интерфейса, такие как полосы прокрутки, рисуются правильно, и вы снова можете перетаскивать их в командную строку. И этот метод все еще используется в Windows 8 и 10, позволяя использовать все новые элементы интерфейса и стили, появившиеся после Windows 7.

Несмотря на то, что диспетчер задач представляет узел окна консоли как отдельный объект, он все еще тесно связан с CSRSS. Если вы проверите процесс conhost.exe в Process Explorer, вы увидите, что он на самом деле выполняется в процессе csrss.ese.

В конце концов, консольный оконный хост — это нечто вроде оболочки, которая поддерживает возможности запуска службы системного уровня, такой как CSRSS, и в то же время безопасно и надежно предоставляет возможность интеграции современных элементов интерфейса.

Почему запущено несколько экземпляров процесса?

Вы часто будете видеть несколько экземпляров процесса хоста окна консоли, запущенных в диспетчере задач. Каждый запущенный экземпляр командной строки порождает собственный процесс хоста окна консоли. Кроме того, другие приложения, использующие командную строку, будут порождать свой собственный процесс консоли Windows Host, даже если вы не видите для них активного окна. Хорошим примером этого является приложение Plex Media Server, которое запускается как фоновое приложение и использует командную строку, чтобы сделать себя доступным для других устройств в вашей сети.

Многие фоновые приложения работают таким образом, поэтому нередко можно увидеть несколько экземпляров процесса хоста окна консоли, запущенных в любой момент времени. Это нормальное поведение. По большей части каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой процессор, если процесс не активен.

Тем не менее, если вы заметили, что конкретный экземпляр хоста окна консоли — или связанная с ним служба — вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные вовлеченные приложения. Это может по крайней мере дать вам представление о том, с чего начать устранение неполадок. К сожалению, сам диспетчер задач не предоставляет хорошую информацию об этом. Хорошей новостью является то, что Microsoft предоставляет отличный продвинутый инструмент для работы с процессами в составе своей линейки Sysinternals. Просто скачайте Process Explorer и запустите его — это портативное приложение, поэтому устанавливать его не нужно.Process Explorer предоставляет все виды расширенных функций, и мы настоятельно рекомендуем прочитать наше руководство по пониманию Process Explorer, чтобы узнать больше.

Самый простой способ отследить эти процессы в Process Explorer — сначала нажать Ctrl + F, чтобы начать поиск. Ищите «conhost» и затем нажимайте результаты. Когда вы это сделаете, вы увидите изменение главного окна, которое покажет вам приложение (или службу), связанное с этим конкретным экземпляром хоста окна консоли.

Если использование ЦП или ОЗУ указывает на то, что это тот случай, который вызывает у вас проблемы, то, по крайней мере, вы сузили его до определенного приложения.

Может ли этот процесс быть вирусом?

Сам процесс является официальным компонентом Windows. Хотя возможно, что вирус заменил реальный хост окна консоли на собственный исполняемый файл, это маловероятно. Если вы хотите быть уверены, вы можете проверить расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши любой процесс узла службы и выберите параметр «Открыть расположение файла».

Если файл хранится в папке Windows \ System32 , вы можете быть уверены, что не имеете дело с вирусом.

На самом деле существует троян по имени Conhost Miner, который маскируется под хост-процесс окна консоли. В диспетчере задач он выглядит так же, как реальный процесс, но небольшое копание покажет, что он на самом деле хранится в папке % userprofile% \ AppData \ Roaming \ Microsoft , а не в Windows \ System32 папка. Троян фактически используется для кражи вашего компьютера для майнинга биткойнов, поэтому другое поведение, которое вы заметите, если оно установлено в вашей системе, заключается в том, что использование памяти выше, чем вы ожидаете, а загрузка ЦП поддерживается на очень высоком уровне (часто выше 80%).

Конечно, использование хорошего антивирусного сканера — лучший способ предотвратить (и удалить) вредоносное ПО, такое как Conhost Miner, и это то, что вы должны делать в любом случае. Береженого Бог бережет!

Оцените статью
TutoryBird.Ru
Добавить комментарий