5Aug
Du har ingen tvekan om att läsa den här artikeln eftersom du har snubblat över Console Window Host( conhost.exe) processen i Task Manager och undrar vad det är. Vi har svaret för dig.
Denna artikel är en del av vår pågående serie som förklarar olika processer som finns i Task Manager, som svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe och många andra. Vet inte vad de här tjänsterna är? Bättre börja läsa!
Så vad är konsolfönstervärdsprocessen?
Förstå Console Window Host-processen kräver lite historia. Under Windows XP-dagarna hanterades kommandotolkningen med en process som heter ClientServer Runtime System Service( CSRSS).Som namnet antyder var CSRSS en systemnivå service. Detta skapade ett par problem. Först skulle en krasch i CSRSS kunna leda till ett helt system, vilket inte bara visade pålitlighetsproblem, utan också möjliga säkerhetsproblem. Det andra problemet var att CSRSS inte kunde bli tema, eftersom utvecklarna inte ville riskera temakod för att köras i en systemprocess. Så, kommandotolken hade alltid det klassiska utseendet i stället för att använda nya gränssnittselement.
Meddelande i skärmdumpen av Windows XP nedanför att Kommandotolken inte får samma stil som en app som anteckningsblock.
Windows Vista introducerade Desktop Window Manager-en tjänst som "drar" kompositvyer av Windows till skrivbordet istället för att låta varje enskild app hantera det själv. Kommandotolken fick några ytliga teman från det här( som den glasiga ramen som finns i andra fönster), men det kom på bekostnad av att kunna dra och släppa filer, text och så vidare in i kommandotolken.
Men den teman gick ändå bara så långt. Om du tittar på konsolen i Windows Vista ser det ut att det använder samma tema som allt annat, men du märker att rullningsfälten fortfarande använder den gamla stilen. Detta beror på att skrivbordsfönstret hanterar ritning av titelfält och ram, men ett gammaldags CSRSS-fönster sitter fortfarande inuti.
Ange Windows 7 och Console Window Host-processen. Som namnet antyder är det en värdprocess för konsolfönstret. Processen sitter i mitten mellan CSRSS och Command Prompt( cmd.exe), vilket gör det möjligt för Windows att fixa båda tidigare granskningsgränssnittselement som scrollbars rita rätt och du kan dra och släppa igen kommandotolken igen. Och det är den metod som fortfarande används i Windows 8 och 10, vilket möjliggör alla nya gränssnittselement och styling som har kommit tillsammans sedan Windows 7.
Även om Task Manager presenterar Console Window Host som en separat enhet är den fortfarande nära associerad med CSRSS.Om du kontrollerar conhost.exe-processen i Process Explorer kan du se att den faktiskt körs under csrss.ese-processen.
I slutändan är Console Window Host något som ett skal som håller kraften att köra en tjänst på systemnivå som CSRSS, samtidigt som den på ett säkert och tillförlitligt sätt ger möjlighet att integrera moderna gränssnittselement.
Varför finns det flera instanser av processen som körs?
Du ser ofta flera instanser av konsolfönster värdprocessen som körs i Aktivitetshanteraren. Varje instans av Command Prompt-körning kommer att gissa sin egen konsolfönster värdprocess. Dessutom kommer andra appar som använder kommandoraden att göra en egen konsol Windows Host-process, även om du inte ser ett aktivt fönster för dem. Ett bra exempel på detta är appen Plex Media Server, som kör som en bakgrundsapp och använder kommandoraden för att göra sig tillgänglig för andra enheter på ditt nätverk.
Många bakgrundsappar fungerar på det här sättet, så det är inte ovanligt att se flera instanser av konsolvinduvertsprocessen som körs vid en viss tidpunkt. Detta är normalt beteende. För det mesta bör varje process ta upp mycket lite minne( vanligen under 10 MB) och nästan ingen CPU om inte processen är aktiv.
Som sagt, om du märker att en viss instans av Console Window Host-eller en relaterad tjänst-orsakar problem, som kontinuerlig överdriven CPU eller RAM-användning, kan du kolla in de specifika appar som är inblandade. Det kan åtminstone ge dig en uppfattning om var du ska börja felsökning. Tyvärr tillhandahåller uppgiftshanteraren själv inte bra information om detta. Den goda nyheten är att Microsoft ger ett utmärkt avancerat verktyg för att arbeta med processer som en del av sin Sysinternals-serie. Hämta bara Process Explorer och kör det - det är en bärbar app, så du behöver inte installera den. Process Explorer erbjuder alla typer av avancerade funktioner, och vi rekommenderar starkt att du läser vår guide för att förstå Process Explorer för att lära dig mer.
Det enklaste sättet att spåra dessa processer ner i Process Explorer är att först slå Ctrl + F för att starta en sökning. Sök efter "conhost" och klicka sedan på resultaten. Som du gör kommer du att se huvudfönstret byta för att visa dig appen( eller tjänsten) som är associerad med det aktuella exemplet av Console Window Host.
Om CPU- eller RAM-användningen indikerar att detta är förekomsten som orsakar problem, då har du åtminstone minskat till en viss app.
Kan denna process vara ett virus?
Processen själv är en officiell Windows-komponent.Även om det är möjligt att ett virus har ersatt den verkliga Console Window Host med en körbar egen, är det osannolikt. Om du vill vara säker kan du kolla in den underliggande filens plats för processen. I Aktivitetshanteraren högerklickar du på någon Service Host-process och väljer alternativet "Öppna filplats".
Om filen är lagrad i mappen Windows \ System32 kan du vara ganska säker på att du inte hanterar ett virus.
Det finns faktiskt en trojansk där ute som heter Conhost Miner som maskerar som Console Window Host Process. I uppgiftshanteraren visas den som den verkliga processen, men en liten grävning visar att den faktiskt finns lagrad i mappen% userprofile% \ AppData \ Roaming \ Microsoft istället för Windows \ System32-mappen. Trojanen används faktiskt för att kapa din dator till mina Bitcoins, så det andra beteendet du märker om det är installerat på ditt system är att minnesanvändningen är högre än du kan förvänta dig och CPU-användningen upprätthåller på mycket höga nivåer( ofta ovan80%).
Att använda en bra virusskanner är det bästa sättet att förebygga( och ta bort) skadlig kod som Conhost Miner, och det är något du borde göra ändå.Säkra före det osäkra!