Mikä on conhost.exe ja miksi se toimii?

Luet epäilemättä tätä artikkelia, koska olet törmännyt konsoli-ikkunan isäntä (conhost.exe) -prosessiin Tehtävienhallinnassa ja ihmettelet, mikä se on. Meillä on vastaus sinulle.

RELATED: Mikä tämä prosessi on ja miksi se toimii tietokoneellani?

Tämä artikkeli on osa meneillään olevaa sarjaamme, jossa selitetään erilaisia ​​Task Managerissa olevia prosesseja, kuten svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe ja monet muut. Etkö tiedä mitä nämä palvelut ovat? Aloita parempi lukeminen!

Joten mikä on konsoli-ikkunan isäntäprosessi?

Console Window Host -prosessin ymmärtäminen vaatii vähän historiaa. Windows XP -päivinä komentokehote hoidettiin prosessilla nimeltä ClientServer Runtime System Service (CSRSS). Kuten nimestä käy ilmi, CSRSS oli järjestelmätasoinen palvelu. Tämä aiheutti pari ongelmaa. Ensinnäkin CSRSS-järjestelmän kaatuminen voi kaataa koko järjestelmän, joka paljasti paitsi luotettavuusongelmat myös mahdolliset tietoturva-aukkoja. Toinen ongelma oli se, että CSRSS: ää ei voitu teemoittaa, koska kehittäjät eivät halunneet vaarantaa teemakoodin suorittamista järjestelmäprosessissa. Joten komentokehotteella oli aina klassinen ilme uusien käyttöliittymäelementtien sijaan.

Huomaa alla olevassa Windows XP: n kuvakaappauksessa, että komentokehote ei saa samaa tyyliä kuin Muistio-sovelluksen kaltainen sovellus.

RELATED: Mikä on Desktop Window Manager (dwm.exe) ja miksi se toimii?

Windows Vista esitteli Desktop Window Manager -palvelun - palvelun, joka "piirtää" yhdistetyt ikkunanäkymät työpöydälle sen sijaan, että kukin yksittäinen sovellus käsittäisi sen itse. Komentokehote sai tästä jonkin verran pinnallista teemaa (kuten muissa ikkunoissa oleva lasimainen kehys), mutta se tuli sen kustannuksella, että voit vetää ja pudottaa tiedostoja, tekstiä ja niin edelleen komentokehoteikkunaan.

Silti se teema meni vain niin pitkälle. Jos katsot konsolia Windows Vistassa, näyttää siltä, ​​että se käyttää samaa teemaa kuin kaikki muutkin, mutta huomaat, että vierityspalkit käyttävät edelleen vanhaa tyyliä. Tämä johtuu siitä, että Desktop Window Manager hoitaa otsikkopalkkien ja kehyksen piirtämisen, mutta vanhanaikainen CSRSS-ikkuna istuu edelleen sen sisällä.

Anna Windows 7 ja konsoli-ikkunan isäntäprosessi. Kuten nimestä käy ilmi, sen isäntäprosessi konsoli-ikkunalle. Prosessi istuu keskellä CSRSS: n ja komentokehotteen (cmd.exe) välillä, jolloin Windows voi korjata molemmat edelliset ongelmat - käyttöliittymäelementit, kuten vierityspalkit piirtävät oikein, ja voit jälleen vetää ja pudottaa komentokehotteeseen. Ja tämä on menetelmä, jota käytetään edelleen Windows 8: ssa ja 10: ssä, jolloin kaikki uudet käyttöliittymäelementit ja muotoilu ovat tulleet käyttöön Windows 7: n jälkeen.

Vaikka Tehtävienhallinta esittelee konsoliikkunan isännän erillisenä kokonaisuutena, se liittyy silti läheisesti CSRSS: ään. Jos tarkistat conhost.exe-prosessin Process Explorerissa, näet, että se todella toimii csrss.ese-prosessin alla.

Loppujen lopuksi konsoli-ikkunan isäntä on jotain kuorta, joka ylläpitää järjestelmätason palvelun, kuten CSRSS: n, käyttämisen voimaa, samalla kun se antaa turvallisen ja luotettavan mahdollisuuden integroida nykyaikaiset käyttöliittymäelementit.

Miksi prosessia on käynnissä useita?

Näet usein useita konsoli-ikkunan isäntäprosessin suorituksia Task Managerissa. Jokainen komentokehotteen käynnissä oleva tapa synnyttää oman konsoliikkunan isäntäprosessin. Lisäksi muut komentoriviä käyttävät sovellukset synnyttävät oman konsolin Windows Host -prosessinsa, vaikka et näe aktiivista ikkunaa heille. Hyvä esimerkki tästä on Plex Media Server -sovellus, joka toimii taustasovelluksena ja asettaa komentorivin asettamaan itsensä verkon muiden laitteiden saataville.

Monet taustasovellukset toimivat tällä tavalla, joten ei ole harvinaista nähdä useita konsoli-ikkunan isäntäprosessin esiintymiä kulloinkin. Tämä on normaalia käyttäytymistä. Suurimmaksi osaksi jokaisen prosessin tulisi viedä hyvin vähän muistia (yleensä alle 10 Mt) ja melkein nolla prosessoria, ellei prosessi ole aktiivinen.

Siitä huolimatta, jos huomaat, että tietty konsoliikkunan isännän esiintymä - tai siihen liittyvä palvelu - aiheuttaa ongelmia, kuten jatkuva liiallinen suorittimen tai RAM-muistin käyttö, voit tarkistaa asiaan liittyvät sovellukset. Se voi ainakin antaa sinulle käsityksen siitä, mistä aloittaa vianmääritys. Valitettavasti Tehtävienhallinta ei itse tarjoa hyvää tietoa tästä. Hyvä uutinen on, että Microsoft tarjoaa erinomaisen edistyneen työkalun prosessien käsittelyyn osana Sysinternals-kokoonpanoa. Lataa vain Process Explorer ja suorita se - se on kannettava sovellus, joten sitä ei tarvitse asentaa. Process Explorer tarjoaa kaikenlaisia ​​lisäominaisuuksia - ja suosittelemme, että lue lisätietoja Process Explorerin ymmärtämisestä.

RELATED: Mikä on "kannettava" sovellus ja miksi sillä on merkitystä?

Helpoin tapa seurata näitä prosesseja Process Explorerissa on aloittaa haku painamalla ensin Ctrl + F. Hae sanaa "conhost" ja napsauta sitten tuloksia. Kuten teet, näet pääikkunan muutoksen, joka näyttää sovelluksen (tai palvelun), joka liittyy kyseiseen konsoli-ikkunan isännän esiintymään.

Jos suorittimen tai RAM-muistin käyttö osoittaa, että tämä on tapa, joka aiheuttaa sinulle ongelmia, ainakin sinulla on se supistunut tiettyyn sovellukseen.

Voisiko tämä prosessi olla virus?

Itse prosessi on virallinen Windows-komponentti. Vaikka on mahdollista, että virus on korvannut todellisen konsoliikkunan isännän omalla suoritettavalla tiedostolla, se on epätodennäköistä. Jos haluat olla varma, voit tarkistaa prosessin taustalla olevan tiedoston sijainnin. Napsauta Tehtävienhallinnassa hiiren kakkospainikkeella mitä tahansa palvelun isäntäprosessia ja valitse vaihtoehto "Avaa tiedoston sijainti".

Jos tiedosto on tallennettu Windows\System32kansioon, voit olla varma, ettet ole tekemisissä viruksen kanssa.

Itse asiassa siellä on troijalainen, nimeltään Conhost Miner, joka maskeeraa konsoli-ikkunan isäntänä. Tehtävienhallinnassa se näyttää aivan kuten todellinen prosessi, mutta pieni kaivaminen paljastaa, että se on todella tallennettu %userprofile%\AppData\Roaming\Microsoftkansioon pikemminkin kuin Windows\System32kansioon. Troijalaista käytetään todellakin kaappaamaan tietokoneesi Bitcoins-kaivoksille, joten toinen käyttäytyminen, jonka huomaat, jos se on asennettu järjestelmääsi, on se, että muistin käyttö on odotettua suurempi ja suorittimen käyttö pysyy erittäin korkealla (usein yli 80%).

RELATED: Mikä on paras virustorjunta Windows 10: lle? (Onko Windows Defender tarpeeksi hyvä?)

Tietenkin hyvän virustarkistimen käyttö on paras tapa estää (ja poistaa) haittaohjelmia, kuten Conhost Miner, ja se on jotain, mitä sinun pitäisi tehdä joka tapauksessa. Parempi katsoa kuin katua!