Czytelnik TechJunkie skontaktował się ze mną wczoraj, pytając o konkretną usługę Windows, którą zauważył na swoim komputerze. Był to „conhost.exe”, a czytelnik zastanawiał się, co to jest, co zrobił i czy można bezpiecznie uruchomić na komputerze, czy nie.
Biorąc pod uwagę wszystkie wiadomości o bezpieczeństwie komputera, naturalne jest, że ludzie martwią się usługami, których nie rozpoznają. Zawsze sugerowałbym dowiedzieć się, czym jest usługa lub program i co robi, jeśli nie rozpoznajesz go od razu. Nawet najbezpieczniejsze systemy mogą nadal być podatne na złośliwe oprogramowanie. Więc naprawdę lepiej być bezpiecznym niż żałować!
Zawsze chętnie odpowiadam na pytania związane z systemem Windows, gdzie tylko mogę, oto wszystko, co wiem o conhost.exe.
Conhost.exe w systemie Windows
Conhost.exe pojawia się jako konsola hosta systemu Windows na komputerach z systemem Windows 10. Otwórz Menedżera zadań (kliknij prawym przyciskiem myszy pasek zadań systemu Windows i wybierz go), a następnie przewiń w dół do procesów systemu Windows i powinno być uruchomione jedno lub więcej wystąpień. Możesz zobaczyć więcej wystąpień, możesz nie.
Wiele wystąpień Conhost.exe jest w porządku, jeśli masz otwartych wiele programów, ale jeśli właśnie uruchomiłeś komputer ze stanu wyłączenia, oznacza to, że masz kilka programów działających w tle, których nie potrzebujesz.
Co robi Conhost.exe?
Conhost.exe to ewolucja crss.exe, która działała na starszych wersjach systemu Windows, takich jak XP. Crss.exe był pośrednim interfejsem API, który pozwalał aplikacjom GUI na interakcję z aplikacjami innymi niż GUI, takimi jak wiersz poleceń. Na przykład, jeśli masz plik tekstowy zawierający polecenie wsadowe, możesz przeciągnąć ten plik tekstowy do CMD, a wiersz poleceń może wykonać plik wsadowy. Programy korzystające z GUI również używałyby crss.exe. do interakcji z konsolą za kulisami.
Crss.exe umożliwił konsoli przeciąganie i upuszczanie w tradycyjnej konsoli bez przeciągania i upuszczania. Jednak crss.exe używał lokalnego konta systemowego do pracy, która ma wiele uprawnień nad komputerem. Crss.exe teoretycznie pozwalał exploitom na interakcję między kontami użytkowników z ograniczonym dostępem, na których działały programy GUI, a kontem systemu lokalnego, na którym działały aplikacje konsoli. Zapewniło to coś w rodzaju pomostu dla złośliwego oprogramowania w celu uzyskania nieograniczonego dostępu do twojego komputera.
Crss.exe został zastąpiony przez conhost.exe w systemie Windows 7 i nadal jest obecny w systemie Windows 10. Nadal robi to samo, co crss.exe, ale bez przyznawania dostępu do lokalnych kont systemowych lub podniesionych uprawnień.
Witryna Microsoft Technet ma przydatną stronę crss.exe i conhost.exe.
Niektóre strony internetowe mówią o conhost.exe dotyczące estetyki i tematyki, ale nie sądzę, że to prawda. Strona Technet wyjaśnia, że conhost.exe został wprowadzony, aby pomóc zabezpieczyć rdzeń systemu Windows, przerywając most między kontami użytkowników i kontami komputerów lokalnych. Nie wspomina nic o wyglądzie konsoli.
Potwierdza to moje własne doświadczenie z Windows Server różnych generacji. Od wersji Server 2003 Microsoft wykonał wiele pracy, aby oddzielić podstawowy system operacyjny od kont użytkowników, aby zwiększyć jego bezpieczeństwo. Nie zastanawiano się, jak to wyglądało. Chodziło o to, jak to działało.
Czy conhost.exe jest bezpieczny?
Jak zapewne już wiesz, niektóre złośliwe oprogramowanie może naśladować właściwości legalnych procesów lub programów systemu Windows. Na powierzchni może się wydawać oczywiste, że plik conhost.exe jest bezpieczny, ale zawsze warto to sprawdzić. Oto jak.
- Kliknij prawym przyciskiem myszy pasek zadań Windows i wybierz Menedżer zadań.
- Przewiń w dół do procesów systemu Windows i zlokalizuj Konsolę Windows Host.
- Kliknij prawym przyciskiem myszy i wybierz Właściwości.
W obszarze Lokalizacja powinieneś zobaczyć C: \ Windows \ System32. Wszystkie wystąpienia pliku conhost.exe powinny być uruchamiane z System32, więc jeśli to zobaczysz, jest to bezpieczne. Jeśli lokalizacja pliku jest inna, prawdopodobnie nie będzie uzasadniona.
Jednym ze sposobów sprawdzenia jest użycie Eksploratora procesów. Jest to program, który pobiera Menedżera zadań i zmienia go na 11. Otwórz Process Explorer i znajdź conhost.exe. Oprócz pokazania, że jest to uzasadnione, powinien również pokazać, z którym programem współpracuje. Na obrazku widać, że ten na moim komputerze z systemem Windows 10 działa z procesem Nvidia Web Helper. Jest to uzasadniona instancja pliku conhost.exe.
Możesz powtórzyć ten proces dla każdego procesu Windows, który chcesz sprawdzić. Każdy proces powinien mieć swoją lokalizację w C: \ Windows \ System32. Jeśli tak się nie stanie, na wszelki wypadek uruchom skaner antywirusowy i skaner złośliwego oprogramowania. W przypadku procesów w tle lokalizacja powinna być zgodna z zainstalowanym katalogiem procesu.
Mam nadzieję, że odpowiednio odpowiedziała na pytanie. Tak, conhost.exe jest uzasadniony i tak, jest bezpieczny, dopóki ma swoją lokalizację w C: \ Windows \ System32.
Masz inne procesy systemu Windows, o których chciałbyś wiedzieć więcej? Opowiedz nam o nich poniżej, jeśli to zrobisz, a ja postaram się odpowiedzieć na jak najwięcej!
