Kas yra conhost.exe ir kodėl ji veikia?
Jūs, be abejo, skaitote šį straipsnį, nes jūs sukrėtėte „Console Window Host“ („conhost.exe“) procesą „Task Manager“ ir įdomu, kas tai yra. Mes turime atsakymą.
Šis straipsnis yra mūsų vykdomos serijos dalis, paaiškinanti įvairius procesus, aptinkamus Task Manager, pvz., Svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe ir daugelį kitų. Nežinau, kokios šios paslaugos? Geriau pradėti skaityti!
Taigi, kas yra konsolės lango prieglobos procesas?
Konsolės lango prieglobos proceso supratimas reikalauja šiek tiek istorijos. „Windows XP“ dienomis komandų eilutę tvarkė procesas, pavadintas „ClientServer Runtime System Service“ (CSRSS). Kaip rodo pavadinimas, CSRSS buvo sistemos lygmens paslauga. Tai sukėlė keletą problemų. Pirma, avarijos CSRSS gali sumažinti visą sistemą, kuri atskleidė ne tik patikimumo problemas, bet ir galimas saugumo spragas. Antroji problema buvo ta, kad CSRSS negali būti teminė, nes kūrėjai nenorėjo rizikuoti temos kodo, kad galėtų paleisti sistemos procesą. Taigi, komandų eilutė visada buvo klasikinė, o ne naudodama naujus sąsajos elementus.
„Windows XP“ ekrano nuotraukoje pastebėkite, kad komandų eilutėje nėra tokio paties stiliaus kaip ir „Notepad“.
„Windows Vista“ pristatė darbalaukio langų tvarkyklę - paslaugą, kuri „atneša“ kompozicinius langų vaizdus į darbalaukį, o ne leisdama kiekvienam atskiram programos valdikliui veikti atskirai. Komandų eilutė iš to gavo šiek tiek paviršutinišką temą (pvz., Stiklinį rėmą, esantį kituose languose), tačiau ji atsirado sąskaita, leidžiančia vilkti ir nuleisti failus, tekstą ir pan. Į komandų eilutės langą.
Vis dėlto, ši tematika tęsėsi iki šiol. Pažvelgus į „Windows Vista“ konsolę, atrodo, kad ji naudoja tą pačią temą kaip ir visa kita, tačiau pastebėsite, kad slinkties juostos vis dar naudoja senąjį stilių. Taip yra todėl, kad darbastalio langų tvarkyklė tvarko antraštės juostų ir rėmo piešimą, bet senas CSRSS langas vis dar slypi.
Įveskite „Windows 7“ ir „Console Window Host“ procesą. Kaip rodo pavadinimas, tai konsolės lango priimančiosios procesas. Proceso rūšys slypi viduryje tarp CSRSS ir komandų eilutės (cmd.exe), leidžiančios „Windows“ nustatyti abu ankstesnius klausimus-sąsajos elementus, pvz., Slinkties juostas, kad būtų teisingai nubrėžti, ir jūs galite vėl vilkite ir nuleisti į komandų eilutę. Ir tai yra metodas, kuris vis dar naudojamas „Windows 8“ ir „10“ versijose, leidžiantis naudoti visus naujus sąsajos elementus ir stilių nuo „Windows 7“.
Nors užduočių tvarkyklė pateikia konsolės lango prieglobą kaip atskirą objektą, jis vis dar glaudžiai susijęs su CSRSS. Jei „Process Explorer“ patikrinsite procesą „conhost.exe“, galite matyti, kad jis iš tikrųjų vyksta pagal „csrss.ese“ procesą.
Galų gale, konsolės langų priegloba yra kažkas panašaus į apvalkalą, kuris palaiko sistemos lygio paslaugų, pvz., CSRSS, veikimo galią, tuo pat metu saugiai ir patikimai suteikdamas galimybę integruoti šiuolaikinius sąsajos elementus.
Kodėl yra keletas proceso eigos eilučių?
Dažnai matysite kelis „Console Window Host“ proceso „Task Manager“ procesus. Kiekvienas komandų eilutės veikimo atvejis sukurs savo konsolės lango serverio procesą. Be to, kitos programos, naudojančios komandų eilutę, sukurs savo konsolės „Windows“ prieglobos procesą, net jei nematysite aktyvaus lango. Geras pavyzdys yra „Plex Media Server“ programa, kuri veikia kaip fono programa ir naudoja komandinę eilutę, kad ji būtų prieinama kitiems jūsų tinklo įrenginiams.
Daugelis fono programų veikia tokiu būdu, todėl neįprasta matyti kelis konsolės lango serverio procesus, kurie veikia bet kuriuo metu. Tai yra normalus elgesys. Daugeliu atvejų kiekvienas procesas turi užimti labai mažai atminties (paprastai mažiau nei 10 MB) ir beveik nulinį procesorių, nebent procesas būtų aktyvus.
Be to, jei pastebėsite, kad tam tikras konsolės lango prieglobos ar susijusios paslaugos atvejis sukelia problemų, pvz., Nuolatinis per didelis procesoriaus ar RAM naudojimas, galite patikrinti konkrečias taikomąsias programas. Tai bent jau suteiks jums idėją, kur pradėti gedimą. Deja, pats „Task Manager“ neteikia geros informacijos apie tai. Geros naujienos yra tai, kad „Microsoft“ siūlo puikią pažangią priemonę darbui su procesais, kaip dalį „Sysinternals“ serijos. Tiesiog atsisiųskite „Process Explorer“ ir paleiskite jį - tai nešiojama programa, todėl nereikia jo įdiegti. „Process Explorer“ teikia visas pažangias funkcijas ir rekomenduojame perskaityti mūsų vadovą, kaip suprasti „Process Explorer“, kad sužinotumėte daugiau.
Paprasčiausias būdas stebėti šiuos procesus programoje „Explorer Explorer“ yra pirmiausia paspausti „Ctrl + F“, kad pradėtumėte paiešką. Ieškokite „conhost“ ir spustelėkite rezultatus. Kaip matysite, pamatysite, kad pagrindiniame lange bus rodoma programa (arba paslauga), susijusi su konkrečiu „Console Window Host“ egzemplioriumi.
Jei procesoriaus arba RAM naudojimas rodo, kad tai yra atvejis, dėl kurio kyla problemų, bent jau jūs jį susiaurinote iki konkrečios programos.
Ar šis procesas gali būti virusas?
Šis procesas yra oficialus „Windows“ komponentas. Nors yra įmanoma, kad virusas pakeitė tikrąjį konsolės lango prieglobą su savo vykdomuoju įvykiu, mažai tikėtina. Jei norite būti tikri, galite patikrinti pagrindinę proceso vietą. Užduočių tvarkyklėje dešiniuoju pelės mygtuku spustelėkite bet kurį paslaugos teikėjo procesą ir pasirinkite parinktį „Atidaryti failo vietą“.
Jei failas yra saugomas jūsų „Windows“ sistema32
tada galite būti gana tikri, kad nesate susiję su virusu.
Iš tiesų ten yra Trojos arklys, pavadintas „Conhost Miner“, kuris užmaskuoja kaip konsolės lango prieglobos procesą. Užduočių tvarkyklėje jis atrodo kaip tikrasis procesas, bet mažai kasimas parodys, kad jis iš tikrųjų yra saugomas % userprofile% „AppData“ „Microsoft“
aplanką, o ne „Windows“ sistema32
aplanką. „Trojos arklys“ iš tikrųjų naudojamas kompiuteriui užgrobti, kad būtų pašalintas „Bitcoins“, taigi kitas elgesys, kurį pastebėsite, jei jis bus įdiegtas jūsų sistemoje, yra tai, kad atminties naudojimas yra didesnis nei galite tikėtis, o procesoriaus naudojimas išlieka labai aukštas (dažnai aukščiau) 80%).
Žinoma, geras virusų skaitytuvas yra geriausias būdas užkirsti kelią (ir pašalinti) kenkėjiškąsias programas, pvz., „Conhost Miner“, ir tai, ką turėtumėte daryti bet kuriuo atveju. Geriau apsidrausti nei paskui gailėtis!