5Aug

Cos'è Conhost.exe e Perché è in esecuzione sul mio PC?

Sicuramente stai leggendo questo articolo perché ti sei imbattuto nel processo Host( Window Host) della console( conhost.exe) in Task Manager e ti stai chiedendo di cosa si tratta. Abbiamo la risposta per te.

Questo articolo fa parte delle nostre serie in corso che illustrano vari processi trovati in Task Manager, come svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe e molti altri. Non sai quali sono questi servizi? Meglio iniziare a leggere!

Quindi, qual è il processo host della finestra della console?

Capire il processo host della finestra della console richiede un po 'di cronologia. Nei giorni di Windows XP, il prompt dei comandi è stato gestito da un processo denominato Servizio server di runtime di ClientServer( CSRSS).Come suggerisce il nome, CSRSS era un servizio a livello di sistema. Questo ha creato un paio di problemi. Innanzitutto, un arresto anomalo in CSRSS potrebbe causare l'interruzione di un intero sistema, che ha esposto non solo problemi di affidabilità, ma anche possibili vulnerabilità di sicurezza. Il secondo problema era che CSRSS non poteva essere tematizzato, perché gli sviluppatori non volevano rischiare che il codice del tema venisse eseguito in un processo di sistema. Quindi, il Prompt dei comandi aveva sempre l'aspetto classico piuttosto che usare nuovi elementi dell'interfaccia.

Nota nello screenshot di Windows XP in basso che il Prompt dei comandi non ha lo stesso stile di un'app come Blocco note.

Windows Vista ha introdotto Desktop Window Manager, un servizio che "disegna" viste composite di Windows sul desktop piuttosto che lasciare che ogni singola app gestisca da sola. Il Prompt dei comandi ha ottenuto alcune considerazioni superficiali( come il frame vetroso presente in altre finestre), ma è stato possibile a spese di poter trascinare e rilasciare file, testo e così via nella finestra del prompt dei comandi.

Tuttavia, il tema è andato solo lontano. Se dai un'occhiata alla console in Windows Vista, sembra che usi lo stesso tema di tutto il resto, ma noterai che le barre di scorrimento stanno ancora utilizzando il vecchio stile. Questo perché Desktop Manager Manager gestisce il disegno delle barre del titolo e del frame, ma una finestra CSRSS vecchio stile rimane ancora all'interno.

Immettere Windows 7 e il processo Host finestra della console. Come suggerisce il nome, è un processo host per la finestra della console. Il processo si svolge a metà tra CSRSS e il prompt dei comandi( cmd.exe), consentendo a Windows di risolvere entrambi i problemi precedenti: elementi dell'interfaccia come le barre di scorrimento si disegnano correttamente e puoi nuovamente trascinarli nel Prompt dei comandi. E questo è il metodo ancora usato in Windows 8 e 10, consentendo tutti i nuovi elementi dell'interfaccia e lo stile che sono venuti da Windows 7.

Anche se il Task Manager presenta l'host finestra della console come entità separata, è ancora strettamente associato a CSRSS.Se si controlla il processo conhost.exe in Process Explorer, è possibile vedere che viene effettivamente eseguito sotto il processo csrss.ese.

Alla fine, l'host della finestra della console è qualcosa di simile a una shell che mantiene la potenza di eseguire un servizio a livello di sistema come CSRSS, pur garantendo in modo sicuro e affidabile la possibilità di integrare elementi di interfaccia moderni.

Perché ci sono diverse istanze del processo in esecuzione?

Vedrete spesso diverse istanze del processo host della finestra della console in esecuzione in Task Manager. Ogni istanza di Command Prompt in esecuzione genererà il proprio processo Host Window della console. Inoltre, altre app che utilizzano la riga di comando genereranno il proprio processo di Host di Windows della console, anche se per esse non viene visualizzata una finestra attiva. Un buon esempio di ciò è l'app Plex Media Server, che viene eseguita come app in background e utilizza la riga di comando per rendersi disponibile ad altri dispositivi sulla rete.

Molte app in background funzionano in questo modo, quindi non è raro vedere più istanze del processo Host finestra di console in esecuzione in un dato momento. Questo è un comportamento normale. Per la maggior parte, ogni processo dovrebbe occupare pochissima memoria( in genere meno di 10 MB) e quasi zero CPU a meno che il processo non sia attivo.

Detto questo, se si nota che una particolare istanza di Console Window Host - o di un servizio correlato - sta causando problemi, come un utilizzo eccessivo della CPU o della RAM, è possibile controllare le app specifiche coinvolte. Questo potrebbe almeno darti un'idea di dove iniziare la risoluzione dei problemi. Sfortunatamente, Task Manager stesso non fornisce buone informazioni a riguardo. La buona notizia è che Microsoft fornisce uno strumento avanzato eccellente per lavorare con i processi come parte della sua linea Sysinternals. Basta scaricare Process Explorer ed eseguirlo: è un'app portatile, quindi non è necessario installarlo. Process Explorer offre tutti i tipi di funzionalità avanzate e consigliamo vivamente di leggere la nostra guida per comprendere Process Explorer per saperne di più.

ARTICOLI CORRELATI
Cos'è un'applicazione "portatile" e perché è importante?
Understanding Process Explorer

Il modo più semplice per tenere traccia di questi processi in Process Explorer è premere Ctrl + F per iniziare una ricerca. Cerca "conhost" e poi fai clic sui risultati. Mentre lo fai, vedrai la finestra principale cambiare per mostrarti l'app( o servizio) associata a quella particolare istanza di Console Window Host.

Se l'utilizzo della CPU o della RAM indica che questa è l'istanza che causa problemi, almeno è stata ridotta a un'app specifica.

potrebbe essere un virus?

Il processo stesso è un componente Windows ufficiale. Mentre è possibile che un virus abbia sostituito il vero host di console con un suo eseguibile, è improbabile. Se vuoi essere sicuro, puoi controllare il percorso del file sottostante del processo. In Task Manager, fare clic con il tasto destro del mouse su qualsiasi processo di Host di servizio e scegliere l'opzione "Apri posizione file".

Se il file è memorizzato nella cartella Windows \ System32, è possibile essere certi che non si tratti di un virus.

Esiste, infatti, un trojan denominato Conhost Miner che si maschera come il processo host della finestra della console. In Task Manager, appare come il vero processo, ma un piccolo scavo rivelerà che è effettivamente memorizzato nella cartella% userprofile% \ AppData \ Roaming \ Microsoft piuttosto che nella cartella Windows \ System32.Il trojan è in realtà utilizzato per attaccare il tuo PC ai miei Bitcoin, quindi l'altro comportamento che noterai se è installato sul tuo sistema è che l'utilizzo della memoria è più alto di quanto potresti aspettarti e l'utilizzo della CPU mantiene a livelli molto alti( spesso sopra80%).

Naturalmente, usare un buon antivirus è il modo migliore per prevenire( e rimuovere) malware come il Conhost Miner, ed è qualcosa che dovresti fare comunque. Meglio prevenire che curare!