Что такое conhost.exe и почему он работает?
Вы, несомненно, читаете эту статью, потому что вы наткнулись на процесс Console Window Host (conhost.exe) в диспетчере задач и задаетесь вопросом, что это такое. У нас есть ответ для вас.
Эта статья является частью нашей продолжающейся серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начать читать!
Итак, что такое хост-процесс в окне консоли?
Понимание процесса работы с консольным окном требует немного истории. В дни Windows XP командная строка обрабатывалась процессом, называемым системной службой времени выполнения ClientServer (CSRSS). Как видно из названия, CSRSS был сервисом системного уровня. Это создало пару проблем. Во-первых, сбой в CSRSS может привести к выходу из строя всей системы, что обнажило не только проблемы с надежностью, но и возможные уязвимости безопасности. Вторая проблема заключалась в том, что CSRSS не мог быть тематическим, потому что разработчики не хотели рисковать темой кода для запуска в системном процессе. Таким образом, командная строка всегда имела классический вид, а не с использованием новых элементов интерфейса.
Обратите внимание на скриншот Windows XP ниже, что командная строка не имеет такой же стиль, как приложение, такое как Блокнот.
В Windows Vista появился менеджер окон рабочего стола - сервис, который «рисует» составные виды окон на вашем рабочем столе, а не позволяет каждому отдельному приложению обрабатывать его самостоятельно. Командная строка получила некоторые поверхностные темы (например, стеклянная рамка в других окнах), но за счет возможности перетаскивания файлов, текста и т. Д. В окно командной строки..
Тем не менее, эта тема зашла так далеко. Если вы посмотрите на консоль в Windows Vista, похоже, что она использует ту же тему, что и все остальное, но вы заметите, что полосы прокрутки все еще используют старый стиль. Это связано с тем, что менеджер окон рабочего стола обрабатывает рисование строк заголовка и рамки, но старомодное окно CSRSS по-прежнему находится внутри.
Войдите в Windows 7 и запустите процесс запуска окна консоли. Как следует из названия, это хост-процесс для окна консоли. Этот процесс находится посередине между CSRSS и командной строкой (cmd.exe), что позволяет Windows корректно исправить оба предыдущих элемента интерфейса проблем, таких как полосы прокрутки, и вы можете снова перетаскивать их в командную строку. И этот метод все еще используется в Windows 8 и 10, позволяя использовать все новые элементы интерфейса и стили, появившиеся после Windows 7.
Несмотря на то, что диспетчер задач представляет узел окна консоли как отдельную сущность, он по-прежнему тесно связан с CSRSS. Если вы проверите процесс conhost.exe в Process Explorer, вы увидите, что он на самом деле выполняется под процессом csrss.ese..
В конце концов, консольный оконный хост является чем-то вроде оболочки, которая поддерживает возможности запуска службы системного уровня, например CSRSS, и в то же время безопасно и надежно предоставляет возможность интеграции современных элементов интерфейса..
Почему запущено несколько экземпляров процесса??
Вы часто будете видеть несколько экземпляров процесса хоста окна консоли, запущенных в диспетчере задач. Каждый запущенный экземпляр командной строки порождает собственный процесс хоста окна консоли. Кроме того, другие приложения, использующие командную строку, будут порождать свой собственный процесс консоли Windows Host, даже если вы не видите для них активного окна. Хорошим примером этого является приложение Plex Media Server, которое запускается как фоновое приложение и использует командную строку, чтобы сделать себя доступным для других устройств в вашей сети..
Многие фоновые приложения работают таким образом, поэтому нередко можно увидеть несколько экземпляров процесса хоста окна консоли, запущенных в любой момент времени. Это нормальное поведение. По большей части каждый процесс должен занимать очень мало памяти (обычно менее 10 МБ) и почти нулевой процессор, если процесс не активен.
Тем не менее, если вы заметили, что конкретный экземпляр хоста окна консоли или связанная с ним служба вызывает проблемы, такие как постоянное чрезмерное использование ЦП или ОЗУ, вы можете проверить конкретные приложения, которые задействованы. Это может, по крайней мере, дать вам представление о том, с чего начать устранение неполадок. К сожалению, сам диспетчер задач не дает хорошей информации об этом. Хорошей новостью является то, что Microsoft предоставляет отличный продвинутый инструмент для работы с процессами в составе своей линейки Sysinternals. Просто скачайте Process Explorer и запустите его - это портативное приложение, поэтому устанавливать его не нужно. Process Explorer предоставляет все виды расширенных функций, и мы настоятельно рекомендуем прочитать наше руководство по пониманию Process Explorer, чтобы узнать больше.
Самый простой способ отследить эти процессы в Process Explorer - сначала нажать Ctrl + F, чтобы начать поиск. Ищите «conhost» и затем просматривайте результаты. При этом вы увидите изменение главного окна, чтобы показать вам приложение (или службу), связанную с этим конкретным экземпляром хоста окна консоли..
Если использование ЦП или ОЗУ указывает на то, что это тот случай, который вызывает у вас проблемы, то, по крайней мере, вы сузили его до определенного приложения..
Может ли этот процесс быть вирусом?
Сам процесс является официальным компонентом Windows. Хотя возможно, что вирус заменил реальный хост окна консоли на собственный исполняемый файл, это маловероятно. Если вы хотите быть уверены, вы можете проверить расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши любой процесс Service Host и выберите параметр «Открыть расположение файла».
Если файл хранится в вашем Windows \ System32
папку, то вы можете быть уверены, что не имеете дело с вирусом.
На самом деле существует троян по имени Conhost Miner, который маскируется под хост-процесс окна консоли. В диспетчере задач он выглядит так же, как реальный процесс, но небольшое копание покажет, что он на самом деле хранится в % USERPROFILE% \ AppData \ Roaming \ Microsoft
папка, а не Windows \ System32
папка. Троян фактически используется для кражи вашего ПК для майнинга биткойнов, поэтому другое поведение, которое вы заметите, если он установлен в вашей системе, заключается в том, что использование памяти выше, чем вы могли ожидать, а загрузка ЦП поддерживается на очень высоком уровне (часто выше 80%).
Конечно, использование хорошего антивирусного сканера - лучший способ предотвратить (и удалить) вредоносное ПО, такое как Conhost Miner, и это то, что вы должны делать в любом случае. Береженого Бог бережет!