5Aug
Bez wątpienia czytasz ten artykuł, ponieważ natknąłeś się na proces Host okna konsoli( conhost.exe) w Menedżerze zadań i zastanawiasz się, co to jest. Mamy dla ciebie odpowiedź.
Ten artykuł jest częścią naszych bieżących serii wyjaśniających różne procesy znalezione w Menedżerze zadań, takie jak svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe i wiele innych. Nie wiesz, jakie są te usługi? Lepiej zacznij czytać!
Co to jest proces hosta w oknie konsoli?
Omówienie okna Host procesu wymaga trochę historii. W dniach Windows XP, wiersz polecenia był obsługiwany przez proces o nazwie ClientServer Runtime System Service( CSRSS).Jak sama nazwa wskazuje, CSRSS był usługą na poziomie systemu. Stworzyło to kilka problemów. Po pierwsze, awaria w CSRSS może zaszkodzić całemu systemowi, który ujawniłby nie tylko problemy z niezawodnością, ale także możliwe luki w zabezpieczeniach. Drugi problem polegał na tym, że CSRSS nie mógł być tematyczny, ponieważ programiści nie chcieli ryzykować kodu tematycznego uruchamianego w procesie systemowym. Tak więc wiersz polecenia miał zawsze klasyczny wygląd, a nie nowe elementy interfejsu.
Zauważ na zrzucie ekranu Windows XP poniżej, że wiersz polecenia nie ma takiego samego stylu jak aplikacja, jak Notatnik.
Windows Vista wprowadził Menedżera okien pulpitu - usługę, która "rysuje" złożone widoki okien na pulpicie, zamiast pozwalać, aby każda pojedyncza aplikacja obsługiwała je samodzielnie. Wiersz polecenia zyskał na tym pewne powierzchowne motywy( jak szklista ramka obecna w innych oknach), ale nastąpiło to kosztem przeciągania i upuszczania plików, tekstów itd. Do okna wiersza polecenia.
Nadal jednak motywy poszły tak daleko. Jeśli spojrzysz na konsolę w systemie Windows Vista, wygląda na to, że używa tego samego motywu co wszystko inne, ale zauważysz, że paski przewijania wciąż używają starego stylu. Dzieje się tak dlatego, że Menedżer okien pulpitu obsługuje rysowanie pasków tytułu i ramki, ale w środku wciąż znajduje się staroświeckie okno CSRSS.
Wprowadź Windows 7 i proces Host okna konsoli. Jak sama nazwa wskazuje, jest to proces hosta dla okna konsoli. Rodzaj procesu znajduje się pośrodku między CSRSS a wierszem polecenia( cmd.exe), umożliwiając systemowi Windows naprawienie obu poprzednich elementów interfejsu problemów, takich jak rysowanie poprawnie pasków przewijania, i można ponownie przeciągnąć i upuścić w wierszu polecenia. I to jest metoda wciąż używana w Windows 8 i 10, pozwalająca na stosowanie wszystkich nowych elementów interfejsu i stylizacji, które pojawiły się od czasów Windows 7.
Nawet jeśli Menedżer zadań prezentuje Host okna konsoli jako oddzielną całość, to wciąż jest ściśle związany z CSRSS.Jeśli sprawdzisz proces conhost.exe w Process Explorer, zobaczysz, że faktycznie działa on w procesie csrss.ese.
W końcu Host okna konsoli jest czymś w rodzaju powłoki, która utrzymuje moc uruchamiania usługi na poziomie systemu, takiej jak CSRSS, a jednocześnie zapewnia niezawodność i niezawodność integracji nowoczesnych elementów interfejsu.
Dlaczego działa kilka wystąpień procesu?
Często zdarza się, że w Menedżerze zadań jest kilka wystąpień procesu Host okna konsoli. Każda instancja uruchamiana z wiersza poleceń odrodzi własny proces Host okna konsoli. Ponadto inne aplikacje, które korzystają z wiersza poleceń, odradzają własny proces hosta systemu Windows - nawet jeśli nie widzisz dla nich aktywnego okna. Dobrym tego przykładem jest aplikacja Plex Media Server, która działa jako aplikacja w tle i korzysta z wiersza poleceń, aby udostępnić ją innym urządzeniom w sieci.
Wiele aplikacji działających w tle działa w ten sposób, więc często zdarza się, że wiele instancji procesu Host okna konsoli działa w danym momencie. To normalne zachowanie. W większości przypadków każdy proces powinien zajmować bardzo mało pamięci( zwykle poniżej 10 MB) i prawie zero procesora, chyba że proces jest aktywny.
Powiedział, że jeśli zauważysz, że konkretne wystąpienie hosta Window Console - lub powiązanej usługi - powoduje problemy, takie jak ciągłe nadmierne użycie procesora lub pamięci RAM, możesz sprawdzić konkretne aplikacje, które są w to zaangażowane. To może przynajmniej dać ci pojęcie, od czego zacząć rozwiązywanie problemów. Niestety Menedżer zadań sam w sobie nie dostarcza dobrych informacji na ten temat. Dobrą wiadomością jest to, że Microsoft zapewnia doskonałe zaawansowane narzędzie do pracy z procesami w ramach swojej linii Sysinternals. Po prostu pobierz Process Explorer i uruchom go - jest to przenośna aplikacja, więc nie trzeba jej instalować.Process Explorer oferuje wszystkie zaawansowane funkcje i zdecydowanie zalecamy przeczytanie naszego przewodnika po zrozumieniu Eksploratora procesów, aby dowiedzieć się więcej.
Najprostszym sposobem śledzenia tych procesów w Process Explorer jest najpierw naciśnięcie Ctrl + F, aby rozpocząć wyszukiwanie. Wyszukaj "conhost", a następnie kliknij wyniki. W ten sposób zobaczysz zmianę głównego okna, aby pokazać aplikację( lub usługę) związaną z konkretnym wystąpieniem hosta okna konsoli.
Jeśli użycie procesora lub pamięci RAM wskazuje na to, że jest to instancja powodująca problemy, to przynajmniej została zawężona do konkretnej aplikacji.
Czy ten proces może być wirusem?
Sam proces jest oficjalnym składnikiem systemu Windows. Chociaż możliwe jest, że wirus zastąpił prawdziwy Host okna konsoli własnym plikiem wykonywalnym, jest to mało prawdopodobne. Jeśli chcesz mieć pewność, możesz sprawdzić lokalizację pliku, w którym znajduje się plik. W Menedżerze zadań kliknij prawym przyciskiem myszy dowolny proces Host usługi i wybierz opcję "Otwórz lokalizację pliku".
Jeśli plik jest przechowywany w folderze Windows \ System32, możesz mieć pewność, że nie masz do czynienia z wirusem.
W rzeczywistości istnieje trojan o nazwie Conhost Miner, który podszywa się pod proces Host okna konsoli. W Menedżerze zadań wygląda to tak, jak w prawdziwym procesie, ale niewielkie kopanie ujawni, że jest ono faktycznie przechowywane w folderze% userprofile% \ AppData \ Roaming \ Microsoft, a nie w folderze Windows \ System32.Trojan jest rzeczywiście używany do przejęcia twojego komputera do kopalni Bitcoinów, więc innym zachowaniem, które zauważysz, jeśli jest zainstalowane w twoim systemie, jest to, że użycie pamięci jest wyższe niż można się tego spodziewać, a użycie procesora utrzymuje się na bardzo wysokim poziomie( często powyżej80%).
Oczywiście, używanie dobrego skanera antywirusowego jest najlepszym sposobem zapobiegania( i usuwania) złośliwego oprogramowania, takiego jak Conhost Miner, i to jest coś, co i tak powinno być robione. Lepiej dmuchać na zimne!