Що таке conhost.exe і чому він працює?
Ви, без сумніву, читаєте цю статтю, тому що ви натрапили на процес консольного вікна Host (conhost.exe) у диспетчері завдань і цікаво, що це таке. Ми отримали відповідь для вас.
Ця стаття є частиною нашої нинішньої серії, в якій пояснюються різні процеси, знайдені в диспетчері завдань, такі як svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe та багато інших. Не знаєте, що це за послуги? Краще почати читати!
Отже, що таке процес хост-консольного вікна?
Розуміння вікна консолі Процес хосту вимагає трохи історії. У дні Windows XP командний рядок оброблявся процесом, який називався службою обслуговування клієнтських серверів (CSRSS). Як випливає з назви, CSRSS був службою на системному рівні. Це створило кілька проблем. По-перше, аварія в CSRSS могла б збити всю систему, яка викрила не тільки проблеми надійності, але й можливі уразливості безпеки. Друга проблема полягала в тому, що CSRSS не можна було тематизувати, оскільки розробники не хотіли ризикувати кодом теми для запуску в системному процесі. Таким чином, командний рядок завжди мав класичний вигляд, а не використовував нові елементи інтерфейсу.
Зверніть увагу на знімок вікна Windows XP, наведений нижче, що командний рядок не має такого ж стилю, як додаток, наприклад, "Блокнот".
Windows Vista представила Менеджер вікон для робочого столу - послугу, яка "малює" композитні вікна на ваш робочий стіл, а не дозволяє кожному окремому застосуванню самостійно працювати. Командний рядок отримав деяку поверхневу тематику (наприклад, склоподібний кадр в інших вікнах), але це відбулося за рахунок перетягування файлів, тексту і т.д. у вікно командного рядка..
Тим не менш, що тематизація тільки йшла так далеко. Якщо ви подивитеся на консоль у Windows Vista, вона виглядає так само, як і все інше, але ви помітите, що смуги прокрутки все ще використовують старий стиль. Це пояснюється тим, що менеджер вікон робочого столу обробляє малювання смужок заголовка та кадру, але вікно CSRSS застаріло.
Введіть Windows 7 і процес консолі. Як випливає з назви, це процес хосту для вікна консолі. Процес сортується посередині між CSRSS і командним рядком (cmd.exe), що дозволяє Windows виправляти обидві попередні елементи інтерфейсу, такі як смуги прокрутки правильно малювати, і ви можете знову перетягувати в командний рядок. І це метод, який досі використовується в Windows 8 і 10, дозволяючи всім новим елементам інтерфейсу і стилю, які з'явилися після Windows 7.
Незважаючи на те, що диспетчер завдань представляє Host Console Window як окрему одиницю, він все ще тісно пов'язаний з CSRSS. Якщо ви перевіряєте процес conhost.exe в Process Explorer, ви можете побачити, що він дійсно виконується в процесі csrss.ese.
Зрештою, Host Console Window - це щось на зразок оболонки, яка підтримує потужність сервісу на рівні системи, наприклад CSRSS, і в той же час надійно і надійно надає можливість інтегрувати сучасні елементи інтерфейсу.
Чому існує декілька екземплярів процесу?
Часто можна побачити кілька примірників процесу консольного вікна, запущеного в диспетчері завдань. Кожен екземпляр запущеного командного рядка породить свій власний процес консольного вікна. Крім того, інші програми, які використовують командний рядок, створюватимуть власний процес консолі Windows Host, навіть якщо ви не бачите для них активного вікна. Хорошим прикладом цього є додаток Plex Media Server, який працює як фонове додаток і використовує командний рядок, щоб зробити його доступним для інших пристроїв у вашій мережі.
Багато фонових додатків працюють таким чином, тому не рідко бачити кілька екземплярів процесу консольного вікна, запущених у будь-який час. Це нормальна поведінка. Здебільшого, кожен процес повинен займати дуже мало пам'яті (зазвичай під 10 МБ) і майже нульовий процесор, якщо процес не є активним.
Проте, якщо ви помітили, що певний екземпляр консольного вікна Host-або пов'язана з ним служба викликає проблеми, наприклад, постійне надмірне використання процесора або оперативної пам'яті, ви можете перевірити конкретні програми, які задіяні. Це, принаймні, може дати вам уявлення про те, де розпочати пошук несправностей. На жаль, сам менеджер завдань не дає хорошої інформації про це. Доброю новиною є те, що Microsoft надає чудовий просунутий інструмент для роботи з процесами як частину своєї лінійки Sysinternals. Просто завантажте Process Explorer і запустіть його - це портативний додаток, тому не потрібно його встановлювати. Process Explorer надає всі види розширених функцій, і ми настійно рекомендуємо прочитати наш посібник для розуміння процесу Explorer, щоб дізнатися більше.
Найпростіший спосіб відстежити ці процеси в Process Explorer - це натиснути Ctrl + F, щоб почати пошук. Знайдіть "conhost", а потім натисніть результати. Як і ви, ви побачите зміну головного вікна, щоб показати вам додаток (або послугу), пов'язаний з цим конкретним екземпляром вікна консольного вікна.
Якщо використання CPU або RAM вказує на те, що це випадок, який спричиняє вам проблеми, то принаймні ви маєте його звужується до певної програми.
Чи може цей процес бути вірусом?
Сам процес є офіційним компонентом Windows. Хоча можливо, що вірус замінив реальний хост вікна консолі своїм виконуваним файлом, малоймовірно. Якщо ви хочете бути впевнені, ви можете перевірити базове розташування файлу процесу. У Диспетчері задач клацніть правою кнопкою миші на будь-якому процесі Host Host і виберіть параметр "Відкрити розташування файлу".
Якщо файл зберігається у вашому Windows System32
тепер ви можете бути впевнені, що ви не маєте справу з вірусом.
Існує, по суті, троян, названий Conhost Miner, який маскується під керуючим процесом консольного вікна. У диспетчері завдань вона виглядає так само, як і реальний процес, але невелике копання покаже, що воно фактично зберігається в % userprofile% AppData Роумінг Microsoft
, а не Windows System32
папки. Троянська програма фактично використовується для захоплення комп'ютера моїми Bitcoins, тому інша поведінка, яку ви помітите, якщо вона встановлена у вашій системі, полягає в тому, що використання пам'яті вище, ніж ви могли б очікувати, а використання процесора підтримується на дуже високих рівнях (часто вище 80%).
Звичайно, використання хорошого антивірусного сканера - це найкращий спосіб запобігти (і видалити) шкідливе програмне забезпечення, як Conhost Miner, і це те, що вам доведеться робити. Краще перестрахуватися, ніж потім шкодувати!