Mis on conhost.exe ja miks see töötab?

Teil on kahtlemata selle artikli lugemine, sest olete komistanud kogu konsooli akna host (conhost.exe) protsessi Task Manageris ja mõtled, mis see on. Meil on teile vastus.

See artikkel on osa meie käimasolevast seeriast, kus selgitatakse Task Manageris leiduvaid erinevaid protsesse, nagu svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe ja paljud teised. Ei tea, mida need teenused on? Parem lugemine!

Mis on konsooli akna hostimise protsess?

Konsooli akna hostiprotsessi mõistmine nõuab natuke ajalugu. Windows XP päevadel käsitleti käsuviipi protsessiga, mida nimetati ClientServer Runtime System Service (CSRSS). Nagu nimigi ütleb, oli CSRSS süsteemitaseme teenus. See tekitas paar probleemi. Esiteks võib CSRSSi kokkupõrge tuua kaasa terve süsteemi, mis ei avaldanud mitte ainult usaldusväärsuse küsimusi, vaid ka võimalikke turvahaavatavusi. Teiseks probleemiks oli see, et CSRSS-i ei olnud võimalik teemasid käsitleda, sest arendajad ei tahtnud teemakoodi süsteemis töötamiseks riskida. Nii oli käsurealt alati klassikaline välimus, mitte uute liidese elementide kasutamine.

Pange tähele, et Windows XP ekraanipildil on käsureal sama stiil kui rakendusel Notepad.

Windows Vista tutvustas töölaua Windowsi haldurit - teenust, mis "koondab" aknad komposiitvaates oma töölauale, mitte lasta igal üksikul rakendusel käituda eraldi. Command Prompt sai selle pealt pealiskaudse (nagu teistes akendes olev klaasjas raam), kuid see tuli arvele, et failide, teksti ja nii edasi juhtimine käsurea aknasse oli võimalik..

Sellegipoolest läks see teema alles kaugele. Kui vaatate Windows Vista konsooli, tundub, et see kasutab sama teemat kui kõik muu, kuid märkate, et kerimisribad kasutavad endiselt vana stiili. Seda seetõttu, et töölaua akna haldur tegeleb tiitliribade ja raamide joonistamisega, kuid vanamoodne CSRSS aken jääb ikka veel sisse.

Sisestage Windows 7 ja konsooli akna hostiprotsess. Nagu nimigi ütleb, on see konsooli akna hostiprotsess. Protsessikord asub CSRSSi ja käsurea (cmd.exe) keskel, võimaldades Windowsil mõlemad eelmised probleemid-liidese elemendid, nagu näiteks kerimisribad, tõmmata õigesti, ja saate uuesti käsku tõmmata. Ja see on meetod, mida ikka veel kasutatakse operatsioonisüsteemis Windows 8 ja 10, võimaldades kõigil uutel liideselementidel ja kujundusel, mis on Windows 7-st tulnud.

Kuigi tegumihaldur esitab konsooli akna host kui eraldi üksuse, on see ikka veel tihedalt seotud CSRSS-iga. Kui kontrollite protsessis Exploreris protsessi conhost.exe, näete, et see toimib tegelikult csrss.ese protsessi käigus.

Lõpuks on konsooli akna haldur midagi sellist, mis säilitab võime kasutada süsteemi tasemel teenust, nagu CSRSS, tagades samal ajal turvalise ja usaldusväärse võimaluse integreerida kaasaegsed liidese elemendid.

Miks on protsessiprotsessi mitu korda?

Näete tihti mitmeid konsooli akna hostiprotsessi juhtumeid, mis töötavad Task Manageris. Iga käskude käivitamise eksemplar tekitab oma konsooli akna hostiprotsessi. Lisaks sellele saavad teised käsurealt kasutatavad rakendused oma konsooli Windowsi hostiprotsessi - isegi kui te neile ei näe aktiivset akent. Hea näide sellest on rakenduse Plex Media Server rakendus, mis töötab taustarakendena ja kasutab käsurida, et teha see teistele teie võrgus olevatele seadmetele kättesaadavaks.

Paljud taustaprogrammid töötavad sellisel viisil, seega ei ole ebatavaline, et ükskõik millisel ajahetkel kuvatakse konsooli akna hostiprotsessi mitu korda. See on normaalne käitumine. Enamikul juhtudel peaks iga protsess võtma väga vähe mälu (tavaliselt alla 10 MB) ja peaaegu null CPU-d, kui protsess ei ole aktiivne.

See tähendab, et kui märkate, et teatud konsooli akna host-või sellega seotud teenus tekitab probleeme, nagu pidev ülemäärane CPU või RAM kasutamine, võite kontrollida, millised konkreetsed rakendused on seotud. See võib vähemalt anda teile idee veaotsingu alustamiseks. Kahjuks ei anna Task Manager ise selle kohta head teavet. Hea uudis on see, et Microsoft pakub suurepäraseid täiustatud vahendeid protsesside töötlemiseks osana oma Sysinternals'i rivist. Lihtsalt laadige Process Explorer alla ja käivitage see - see on kaasaskantav rakendus, seega ei ole vaja seda installida. Protsessi Explorer pakub igasuguseid täiustatud funktsioone ja soovitame lugeda meie juhendit, et mõista protsessi Explorerit, et rohkem teada saada.

Lihtsaim viis nende protsesside jälgimiseks protsessis Explorer on kõigepealt otsingu käivitamiseks vajutada Ctrl + F. Otsige "conhost" ja seejärel klõpsake tulemusi. Nagu te näete, näete peaakna muutmist, et näidata teile rakenduse (või teenuse), mis on seotud selle konkreetse konsooliakna haldajaga.

Kui CPU või RAM-i kasutamine näitab, et tegemist on probleemiga, siis olete vähemalt selle konkreetse rakenduse vähendanud.

Kas see protsess võib olla viirus?

Protsess ise on ametlik Windowsi komponent. Kuigi on võimalik, et viirus on asendanud tegeliku konsooli aknahostu enda käivitatavaga, on ebatõenäoline. Kui soovite olla kindel, saate vaadata protsessi aluseks olevat faili asukohta. Tegumihalduris paremklõpsake suvalisel teenusepakkuja protsessil ja valige suvand „Ava faili asukoht”.

Kui fail on teie Windows System32 siis võite olla üsna kindel, et te ei tegele viirusega.

Tegelikult on seal olemas trooja, nimega Conhost Miner, kes maskeerib konsooli akna hostiprotsessina. Tegumihalduris tundub see just nagu reaalne protsess, kuid väike kaevamine näitab, et see on tegelikult salvestatud % userprofile% AppData Rändlus Microsoft kausta asemel Windows System32 kausta. Trooja on tegelikult kasutatud arvutiga kaaperdamiseks Bitcoins'i kaevandamiseks, nii et teine ​​käitumine, mida märkate, kui see on teie süsteemi installitud, on see, et mälu kasutamine on kõrgem kui arvata, ja CPU kasutamine säilitab väga kõrge taseme (sageli üle selle) 80%).

Loomulikult on hea viirusekanneriga parim viis vältida (ja eemaldada) pahavara, nagu Conhost Miner, ja see on midagi, mida sa peaksid ikkagi tegema. Parem karta kui kahetseda!