Читател на TechJunkie се свърза с мен вчера и ме попита за конкретна услуга на Windows, която забеляза на неговата машина. Това беше „conhost.exe“ и читателят се запита какво е, какво прави и дали е безопасно да работи на компютъра си или не.
Като се имат предвид всички новини за компютърната сигурност, е естествено хората да са загрижени за услуги, които не разпознават. Винаги бих предложил да разберете какво е услуга или програма и какво прави, ако не я разпознаете веднага. Дори и най-сигурните системи все още могат да бъдат податливи на злонамерен софтуер. Така че наистина е по-добре да сте в безопасност, отколкото да съжалявате!
Винаги се радвам да отговарям на въпроси, свързани с Windows, където и да мога, ето всичко, което знам за conhost.exe.
Conhost.exe в Windows
Conhost.exe се появява като Console Windows Host в компютри с Windows 10. Отворете диспечера на задачите (щракнете с десния бутон върху лентата на задачите на Windows и го изберете), след това превъртете надолу към процесите в Windows и трябва да има един или повече екземпляри от него. Може да видите повече случаи, а не може.
Няколко инстанции на Conhost.exe са добре, ако имате отворени няколко програми, но ако току-що стартирахте компютъра си от състояние на изключено, това означава, че имате няколко програми, работещи на заден план, които не са ви необходими.
Какво прави Conhost.exe?
Conhost.exe е еволюция на crss.exe, която работи на по-стари версии на Windows, като XP. Crss.exe беше посредник API, който позволяваше на приложенията на GUI да взаимодействат с приложения, различни от Gui, като командния ред. Например, ако имате текстов файл, съдържащ команда за партида, можете да плъзнете този текстов файл в CMD и командният ред може да изпълни пакетния файл. Програмите, които използват графичен интерфейс, също ще използват crss.exe. за взаимодействие с конзолата зад кулисите.
Crss.exe позволи на конзолата да изпълнява плъзгане и пускане в традиционно конзола без влачене и пускане. Crss.exe обаче използва акаунта в Local System, за да работи с много привилегии над компютър. Crss.exe теоретично разрешава експлоатациите да взаимодействат между ограничени потребителски акаунти, където са работили GUI програмите, и акаунта в Local System, където са работили приложенията за конзолата. Това осигури нещо като мост за злонамерен софтуер, за да получи неограничен достъп до вашия компютър.
Crss.exe бе заменен с conhost.exe в Windows 7 и все още присъства в Windows 10. Той все още прави същото като crss.exe, но без да предоставя достъп до акаунти в локалната система или каквито и да било повишени привилегии.
Уебсайтът на Microsoft Technet има полезна страница в crss.exe и conhost.exe.
Някои технологични уебсайтове говорят за conhost.exe, който се отнася до естетиката и тематизирането, но не вярвам, че това е вярно. На страницата на Technet се обяснява, че conhost.exe е въведен, за да помогне за защитата на ядрото на Windows, като прекъсне този мост между акаунти на потребители и акаунти в локалната машина. В него не се споменава нищо за това как се появява конзолата.
Моят собствен опит с Windows Server от различни поколения подкрепя това. От Server 2003, Microsoft направи много работа, за да отдели основната ОС от потребителските акаунти, за да я направи по-сигурна. Не беше мислено много за това как изглежда. Всичко беше за това как работи.
Безопасен ли е conhost.exe?
Както вероятно вече знаете, някои злонамерен софтуер може да имитира свойствата на законните процеси или програми на Windows. Така че докато на повърхността може да изглежда очевидно, че conhost.exe е безопасен, винаги е добра идея да проверите. Ето как.
- Щракнете с десния бутон на лентата на задачите на Windows и изберете Мениджър на задачи.
- Превъртете надолу до процесите в Windows и намерете конзолата на Windows Host.
- Щракнете с десния бутон и изберете Properties.
Под Местоположение трябва да видите C: \ Windows \ System32. Всички случаи на conhost.exe трябва да стартират от System32, така че ако видите това, това е безопасно. Ако местоположението на файла е нещо различно, вероятно няма да е законно.
Един от начините за проверка е използването на Process Explorer. Това е програма, която поема Task Manager и го превръща в 11. Отворете Explorer Explorer и намерете conhost.exe. Освен че ще ви покаже, че е законна, тя трябва да ви покаже и с коя програма взаимодейства. На изображението можете да видите този на моя Windows 10 машина работи с Nvidia Web Helper. Това е легитимен екземпляр на conhost.exe.
Можете да повторите този процес за всеки процес на Windows, който искате да проверите. Всеки процес трябва да има своето местоположение на C: \ Windows \ System32. Ако това не стане, стартирайте вашия антивирусен и злонамерен софтуер за всеки случай. За фоновите процеси местоположението трябва да съответства на инсталираната директория на процеса.
Надявам се, че отговори адекватно на въпроса. Да, conhost.exe е легитимен и да, той е безопасен, стига да има местоположението си в C: \ Windows \ System32.
Имате ли други процеси в Windows, за които искате да знаете повече? Разкажете ни за тях по-долу, ако го направите и аз ще се опитам да отговоря на колкото мога повече!
