Читатель TechJunkie вчера связался со мной и спросил о конкретной службе Windows, которую он заметил на своей машине. Это был «conhost.exe», и читатель задумался, что это такое, что он делает и безопасно ли работать на его ПК или нет.
Учитывая все новости о компьютерной безопасности, естественно, что люди обеспокоены услугами, которые они не распознают. Я всегда предлагал бы узнать, что такое услуга или программа и что она делает, если вы не сразу ее узнаете. Даже самые защищенные системы могут быть подвержены вредоносным программам. Так что на самом деле лучше быть в безопасности, чем потом сожалеть!
Я всегда рад ответить на вопросы, связанные с Windows, где только могу, поэтому здесь есть все, что я знаю о conhost.exe.
Conhost.exe в Windows
Conhost.exe отображается как консольный хост Windows на компьютерах с Windows 10. Откройте диспетчер задач (щелкните правой кнопкой мыши на панели задач Windows и выберите его), затем прокрутите вниз до процессов Windows, и должен быть запущен один или несколько его экземпляров. Вы можете увидеть больше случаев, вы не можете.
Несколько экземпляров Conhost.exe - это хорошо, если у вас открыто несколько программ, но если вы только что загрузили компьютер из выключенного состояния, это означает, что у вас есть несколько запущенных программ в фоновом режиме, которые вам не нужны.
Что делает Conhost.exe?
Conhost.exe - это эволюция crss.exe, которая работала в более старых версиях Windows, таких как XP. Crss.exe был промежуточным API, который позволял приложениям с графическим интерфейсом взаимодействовать с приложениями не-Gui, такими как командная строка. Например, если у вас есть текстовый файл, содержащий пакетную команду, вы можете перетащить этот текстовый файл в CMD, и командная строка может выполнить пакетный файл. Программы, использующие графический интерфейс, также будут использовать crss.exe. за кулисами взаимодействовать с консолью.
Crss.exe позволял консоли выполнять перетаскивание в традиционно не перетаскиваемой консоли. Тем не менее, crss.exe использовал для работы учетную запись Local System, которая имеет много привилегий на компьютере. Crss.exe теоретически позволял эксплойтам взаимодействовать между ограниченными учетными записями пользователей, в которых работали программы с графическим интерфейсом, и учетной записью локальной системы, в которой работали консольные приложения. Это обеспечило что-то вроде моста для вредоносных программ, чтобы получить неограниченный доступ к вашему компьютеру.
Crss.exe был заменен на conhost.exe в Windows 7 и по-прежнему присутствует в Windows 10. Он по-прежнему выполняет те же функции, что и crss.exe, но без предоставления доступа к учетным записям локальной системы или любым повышенным привилегиям.
На веб-сайте Microsoft Technet есть полезные страницы о crss.exe и conhost.exe.
Некоторые технические сайты говорят о conhost.exe, касающемся эстетики и тематики, но я не верю, что это правда. На странице Technet объясняется, что conhost.exe был введен для обеспечения безопасности ядра Windows путем разрыва этого моста между учетными записями пользователей и локальных компьютеров. Ничего не говорится о том, как выглядит консоль.
Мой собственный опыт работы с Windows Server разных поколений подтверждает это. Начиная с Server 2003, Microsoft проделала большую работу по отделению основной ОС от учетных записей пользователей, чтобы сделать ее более безопасной. Не много думал о том, как это выглядело. Все было о том, как это работает.
Conhost.exe безопасно?
Как вы, вероятно, уже знаете, некоторые вредоносные программы могут имитировать свойства законных процессов или программ Windows. Поэтому, хотя на первый взгляд может показаться очевидным, что conhost.exe безопасен, всегда полезно проверять. Вот как.
- Щелкните правой кнопкой мыши панель задач Windows и выберите «Диспетчер задач».
- Прокрутите вниз до процессов Windows и найдите консоль Windows Host.
- Щелкните правой кнопкой мыши и выберите «Свойства».
В разделе Местоположение вы должны увидеть C: \ Windows \ System32. Все экземпляры conhost.exe должны запускаться из System32, поэтому, если вы видите это, это безопасно. Если местоположение файла отличается от другого, оно, вероятно, не будет законным.
Одним из способов проверки является использование Process Explorer. Это программа, которая берет диспетчер задач и включает его до 11. Откройте Process Explorer и найдите conhost.exe. Помимо того, что он показывает, что он является законным, он также должен показывать, с какой программой он взаимодействует. На изображении видно, что на моем компьютере с Windows 10 работает процесс Nvidia Web Helper. Это законный экземпляр conhost.exe.
Вы можете повторить этот процесс для любого процесса Windows, который вы хотите проверить. Каждый процесс должен иметь свое местоположение в C: \ Windows \ System32. Если это не так, запустите антивирус и сканер вредоносных программ на всякий случай. Для фоновых процессов расположение должно соответствовать установленному каталогу процесса.
Надеюсь, что адекватно ответил на вопрос. Да, conhost.exe является законным и да, это безопасно, если он находится в C: \ Windows \ System32.
У вас есть другие процессы Windows, о которых вы хотели бы узнать больше? Расскажите нам о них ниже, если вы это сделаете, и я постараюсь ответить как можно больше!
