Вчера ко мне обратился читатель TechJunkie с вопросом о конкретной службе Windows, которую он заметил на своем компьютере. Она называлась ‘conhost.exe’, и читателю было интересно узнать, что это такое, что она делает и безопасно ли ее запускать на его компьютере.
Учитывая все новости о компьютерной безопасности, вполне естественно, что люди беспокоятся о службах, которые они не узнают. Я всегда советую выяснить, что это за служба или программа и что она делает, если вы не сразу ее узнали. Даже самые надежные системы могут быть подвержены вредоносным программам. Поэтому лучше перестраховаться, чем потом жалеть!
Я всегда рад ответить на вопросы, связанные с Windows, когда могу, поэтому здесь я расскажу все, что знаю о conhost.exe.
Conhost.exe в Windows
Conhost.exe появляется как Console Windows Host на компьютерах с Windows 10. Откройте диспетчер задач (щелкните правой кнопкой мыши на панели задач Windows и выберите его), затем прокрутите вниз до процессов Windows, и там должен быть один или несколько запущенных экземпляров. Вы можете увидеть больше экземпляров, а можете и нет.
Многочисленные экземпляры Conhost.exe — это нормально, если у вас открыто несколько программ, но если вы только что загрузили компьютер из выключенного состояния, это означает, что у вас есть несколько программ, работающих в фоновом режиме, которые вам не нужны.
Что делает Conhost.exe?
Conhost.exe — это эволюция crss.exe, который работал на старых версиях Windows, таких как XP. Crss.exe был посредником API, который позволял GUI-приложениям взаимодействовать с не-Gui приложениями, такими как командная строка. Например, если у вас был текстовый файл, содержащий пакетную команду, вы могли перетащить этот текстовый файл в CMD, и командная строка могла выполнить пакетный файл. Программы, использующие графический интерфейс, также использовали crss.exe для взаимодействия с консолью за кулисами.
Crss.exe позволял консоли выполнять перетаскивание в традиционно неперетаскиваемой консоли. Однако crss.exe использовал для работы учетную запись Local System, которая обладает большими привилегиями на компьютере. Crss.exe теоретически позволял эксплойтам взаимодействовать между ограниченными учетными записями пользователей, под которыми работали программы графического интерфейса, и учетной записью Local System, под которой работали консольные приложения. Это давало возможность вредоносным программам получить неограниченный доступ к компьютеру.
Crss.exe был заменен на conhost.exe в Windows 7 и все еще присутствует в Windows 10. Он делает то же самое, что и crss.exe, но без предоставления доступа к учетным записям локальной системы или каких-либо повышенных привилегий.
На сайте Microsoft Technet есть полезная страница о crss.exe и conhost.exe .
На некоторых технических сайтах говорится о том, что conhost.exe занимается эстетикой и тематическим оформлением, но я не считаю это правдой. На странице Technet объясняется, что conhost.exe был представлен для обеспечения безопасности ядра Windows путем разрушения моста между учетными записями пользователей и локальных машин. Там ничего не говорится о том, как выглядит консоль.
Мой собственный опыт работы с Windows Server разных поколений подтверждает это. Начиная с Server 2003, компания Microsoft проделала большую работу по отделению ядра ОС от учетных записей пользователей, чтобы сделать его более безопасным. Не так много внимания уделялось тому, как это выглядит. Все дело в том, как это работает.
Безопасен ли conhost.exe?
Как вы, вероятно, уже знаете, некоторые вредоносные программы могут имитировать свойства легитимных процессов или программ Windows. Поэтому, хотя на первый взгляд может показаться очевидным, что conhost.exe безопасен, всегда полезно проверить это. Вот как.
- Щелкните правой кнопкой мыши на панели задач Windows и выберите Диспетчер задач.
- Прокрутите вниз до процессов Windows и найдите Console Windows Host.
- Щелкните правой кнопкой мыши и выберите Свойства.
В разделе Расположение вы должны увидеть C:\Windows\System32. Все экземпляры conhost.exe должны запускаться из System32, так что если вы видите это, значит все в порядке. Если расположение файла отличается, то он, скорее всего, не является легитимным.
Один из способов проверки — использовать Process Explorer . Это программа, которая берет Диспетчер задач и увеличивает его до 11. Откройте Process Explorer и найдите conhost.exe. Помимо того, что программа покажет вам, что она легитимна, она также должна показать вам, с какой программой она взаимодействует. На изображении видно, что на моей машине Windows 10 он работает с процессом Nvidia Web Helper. Это легитимный экземпляр conhost.exe.
Вы можете повторить этот процесс для любого процесса Windows, который хотите проверить. Расположение каждого процесса должно находиться по адресу C:\Windows\System32. Если это не так, запустите на всякий случай антивирус и сканер вредоносных программ. Для фоновых процессов расположение должно соответствовать установленному каталогу процесса.
Надеюсь, что я адекватно ответил на вопрос. Да, conhost.exe легитимен и да, он безопасен, пока его местоположение находится в C:\Windows\System32.
У вас есть другие процессы Windows, о которых вы хотели бы узнать больше? Расскажите нам о них ниже, и я постараюсь ответить на все вопросы!
