Вчера ко мне обратился читатель TechJunkie с вопросом о конкретной службе Windows, которую он заметил на своем компьютере. Она называлась ‘conhost.exe’, и читателю было интересно узнать, что это такое, что она делает и безопасно ли ее запускать на его компьютере.
Содержание
Учитывая все новости о компьютерной безопасности, вполне естественно, что люди беспокоятся о службах, которые они не узнают. Я всегда советую выяснить, что это за служба или программа и что она делает, если вы не сразу ее узнали. Даже самые надежные системы могут быть подвержены вредоносным программам. Поэтому лучше перестраховаться, чем потом жалеть!
Я всегда рад ответить на вопросы, связанные с Windows, когда могу, поэтому здесь я расскажу все, что знаю о conhost.exe.
Conhost.exe в Windows
Conhost.exe появляется как Console Windows Host на компьютерах с Windows 10. Откройте диспетчер задач (щелкните правой кнопкой мыши на панели задач Windows и выберите его), затем прокрутите вниз до процессов Windows, и там должен быть один или несколько запущенных экземпляров. Вы можете увидеть больше экземпляров, а можете и нет.
Многочисленные экземпляры Conhost.exe — это нормально, если у вас открыто несколько программ, но если вы только что загрузили компьютер из выключенного состояния, это означает, что у вас есть несколько программ, работающих в фоновом режиме, которые вам не нужны.
Что делает Conhost.exe?
Conhost.exe — это эволюция crss.exe, который работал на старых версиях Windows, таких как XP. Crss.exe был посредником API, который позволял GUI-приложениям взаимодействовать с не-Gui приложениями, такими как командная строка. Например, если у вас был текстовый файл, содержащий пакетную команду, вы могли перетащить этот текстовый файл в CMD, и командная строка могла выполнить пакетный файл. Программы, использующие графический интерфейс, также использовали crss.exe для взаимодействия с консолью за кулисами.
Crss.exe позволял консоли выполнять перетаскивание в традиционно неперетаскиваемой консоли. Однако crss.exe использовал для работы учетную запись Local System, которая обладает большими привилегиями на компьютере. Crss.exe теоретически позволял эксплойтам взаимодействовать между ограниченными учетными записями пользователей, под которыми работали программы графического интерфейса, и учетной записью Local System, под которой работали консольные приложения. Это давало возможность вредоносным программам получить неограниченный доступ к компьютеру.
Crss.exe был заменен на conhost.exe в Windows 7 и все еще присутствует в Windows 10. Он делает то же самое, что и crss.exe, но без предоставления доступа к учетным записям локальной системы или каких-либо повышенных привилегий.
На сайте Microsoft Technet есть полезная страница о crss.exe и conhost.exe .
На некоторых технических сайтах говорится о том, что conhost.exe занимается эстетикой и тематическим оформлением, но я не считаю это правдой. На странице Technet объясняется, что conhost.exe был представлен для обеспечения безопасности ядра Windows путем разрушения моста между учетными записями пользователей и локальных машин. Там ничего не говорится о том, как выглядит консоль.
Мой собственный опыт работы с Windows Server разных поколений подтверждает это. Начиная с Server 2003, компания Microsoft проделала большую работу по отделению ядра ОС от учетных записей пользователей, чтобы сделать его более безопасным. Не так много внимания уделялось тому, как это выглядит. Все дело в том, как это работает.
Безопасен ли conhost.exe?
Как вы, вероятно, уже знаете, некоторые вредоносные программы могут имитировать свойства легитимных процессов или программ Windows. Поэтому, хотя на первый взгляд может показаться очевидным, что conhost.exe безопасен, всегда полезно проверить это. Вот как.
- Щелкните правой кнопкой мыши на панели задач Windows и выберите Диспетчер задач.
- Прокрутите вниз до процессов Windows и найдите Console Windows Host.
- Щелкните правой кнопкой мыши и выберите Свойства.
В разделе Расположение вы должны увидеть C:\Windows\System32. Все экземпляры conhost.exe должны запускаться из System32, так что если вы видите это, значит все в порядке. Если расположение файла отличается, то он, скорее всего, не является легитимным.
Один из способов проверки — использовать Process Explorer . Это программа, которая берет Диспетчер задач и увеличивает его до 11. Откройте Process Explorer и найдите conhost.exe. Помимо того, что программа покажет вам, что она легитимна, она также должна показать вам, с какой программой она взаимодействует. На изображении видно, что на моей машине Windows 10 он работает с процессом Nvidia Web Helper. Это легитимный экземпляр conhost.exe.
Вы можете повторить этот процесс для любого процесса Windows, который хотите проверить. Расположение каждого процесса должно находиться по адресу C:\Windows\System32. Если это не так, запустите на всякий случай антивирус и сканер вредоносных программ. Для фоновых процессов расположение должно соответствовать установленному каталогу процесса.
Надеюсь, что я адекватно ответил на вопрос. Да, conhost.exe легитимен и да, он безопасен, пока его местоположение находится в C:\Windows\System32.
У вас есть другие процессы Windows, о которых вы хотели бы узнать больше? Расскажите нам о них ниже, и я постараюсь ответить на все вопросы!
YouTube видео: Что такое Conhost.exe в Windows и безопасен ли он?
Вопросы и ответы по теме: “Что такое Conhost.exe в Windows и безопасен ли он?”
Что за процесс Conhost?
Настоящий файл conhost.exe - это безопасный системный процесс Microsoft Windows, который называется “Console Window Host”. Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения.
Что такое хост окна консоли в диспетчере задач?
Как следует из названия, это хост-процесс для консольного окна. Процесс находится посередине между CSRSS и командной строкой (cmd.exe), что позволяет Windows исправлять обе предыдущие проблемы – элементы интерфейса, такие как полосы прокрутки, и вы можете перетаскивать файлы в командную строку.
Что такое Run Time Broker?
Runtime Broker (“Брокер среды выполнения”) — это процесс Windows в диспетчере задач, который помогает управлять разрешениями на компьютере для приложений из Магазина Windows.
Что такое Csrss?
Подсистема клиент/сервер времени выполнения (англ. Client/Server Runtime Subsystem, CSRSS) или csrss.exe, входит в состав операционной системы Microsoft Windows NT, и представляет собой часть пользовательского режима подсистемы Win32.
Что делает программа хост процесс для задач Windows Taskhost exe?
Taskhost exe «Хост процесс для задач» разработан специалистами из Microsoft и относится к разряду общих процессов Windows 7, 8 и 10. Запускаясь, он проверяет службы, которые необходимо загрузить, а затем загружает их.
Что такое окно консоли?
Окно консоли предназначено для вывода различной промежуточной информации во время отладки модулей/форм/сборок. В настольном приложении для окна консоли реализовано собственное контекстное меню, которое содержит следующие команды: Выделить все.