Ένας αναγνώστης TechJunkie με έστειλε χθες ερωτήσεις σχετικά με μια συγκεκριμένη υπηρεσία των Windows που είδε στη μηχανή του. Ήταν 'conhost.exe' και ο αναγνώστης αναρωτήθηκε τι ήταν, τι έκανε και αν ήταν ασφαλές να τρέξει στον υπολογιστή του ή όχι.
Δεδομένων όλων των ειδήσεων σχετικά με την ασφάλεια των υπολογιστών, είναι φυσικό οι άνθρωποι να ανησυχούν για τις υπηρεσίες που δεν αναγνωρίζουν. Πάντα θα πρότεινα να μάθω τι είναι μια υπηρεσία ή πρόγραμμα και τι κάνει αν δεν το αναγνωρίσεις αμέσως. Ακόμη και τα ασφαλέστερα συστήματα μπορεί να είναι ακόμη επιρρεπή σε κακόβουλο λογισμικό. Έτσι είναι πραγματικά καλύτερα να είσαι ασφαλής από το συγγνώμη!
Είμαι πάντα στην ευχάριστη θέση να απαντώ σε ερωτήσεις που σχετίζονται με τα Windows οπουδήποτε μπορώ, οπότε εδώ είναι όλα όσα γνωρίζω για το conhost.exe.
Conhost.exe στα Windows
Το Conhost.exe εμφανίζεται ως κονσόλα Windows Host σε υπολογιστές Windows 10. Ανοίξτε το Task Manager (κάντε δεξί κλικ στη γραμμή εργασιών των Windows και επιλέξτε το), στη συνέχεια κάντε κύλιση προς τα κάτω στις διεργασίες των Windows και θα πρέπει να εκτελεστεί μία ή περισσότερες παρουσίες. Ενδέχεται να δείτε περισσότερες περιπτώσεις, δεν μπορείτε.
Πολλές εμφανίσεις του Conhost.exe είναι ωραία εάν έχετε ανοίξει πολλά προγράμματα, αλλά εάν μόλις εκκινήσατε τον υπολογιστή σας από κατάσταση εκτός λειτουργίας, σημαίνει ότι έχετε ορισμένα προγράμματα που εκτελούνται στο παρασκήνιο που δεν χρειάζεστε.
Τι κάνει το Conhost.exe;
Το Conhost.exe είναι μια εξέλιξη του crss.exe που έτρεχε σε παλαιότερες εκδόσεις των Windows όπως το XP. Το Crss.exe ήταν ένα API μεσολάβησης που επέτρεψε στις εφαρμογές GUI να αλληλεπιδρούν με εφαρμογές που δεν είναι GUI, όπως η γραμμή εντολών. Για παράδειγμα, εάν είχατε ένα αρχείο κειμένου που περιέχει μια εντολή δέσμης, θα μπορούσατε να σύρετε αυτό το αρχείο κειμένου σε CMD και η γραμμή εντολών θα μπορούσε να εκτελέσει το αρχείο δέσμης. Τα προγράμματα που χρησιμοποιούν ένα GUI θα χρησιμοποιούν επίσης το crss.exe. να αλληλεπιδράσετε με την κονσόλα πίσω από τις σκηνές.
Το Crss.exe επέτρεψε στην κονσόλα να εκτελέσει μεταφορά και απόθεση σε μια παραδοσιακά μη σύρσιμο και απόθεση κονσόλα. Ωστόσο, το crss.exe χρησιμοποίησε το Λογαριασμό Τοπικού Συστήματος για να δουλέψει το οποίο έχει πολλά προνόμια σε έναν υπολογιστή. Το Crss.exe επέτρεψε θεωρητικά να εκμεταλλεύονται τα εκμεταλλεύματα μεταξύ των περιορισμένων λογαριασμών χρηστών όπου εργάζονταν τα προγράμματα GUI και του λογαριασμού τοπικού συστήματος όπου λειτουργούσαν οι εφαρμογές κονσόλας. Αυτό παρέσχε κάτι σαν γέφυρα για κακόβουλο λογισμικό για να αποκτήσετε απεριόριστη πρόσβαση στον υπολογιστή σας.
Το Crss.exe αντικαταστάθηκε με το conhost.exe στα Windows 7 και εξακολουθεί να υπάρχει στα Windows 10. Το ίδιο συμβαίνει και με το crss.exe αλλά χωρίς τη χορήγηση πρόσβασης σε Λογαριασμούς Τοπικού Συστήματος ή σε οποιαδήποτε αυξημένα προνόμια.
Ο ιστότοπος Microsoft Techet έχει μια χρήσιμη σελίδα στο crss.exe και στο conhost.exe.
Ορισμένες ιστοσελίδες τεχνολογίας μιλούν για το conhost.exe που αφορά τον εαυτό του με την αισθητική και τα theming αλλά δεν πιστεύω ότι αυτό είναι αλήθεια. Η σελίδα Technet εξηγεί ότι το conhost.exe εισήχθη για να βοηθήσει στην ασφάλεια του πυρήνα των Windows, διασπώντας τη γέφυρα μεταξύ λογαριασμών χρηστών και λογαριασμών Τοπικής Μηχανής. Δεν αναφέρει τίποτα για το πώς εμφανίζεται η κονσόλα.
Η δική μου εμπειρία με το Windows Server διαφόρων γενεών υποστηρίζει αυτό. Από τον Server 2003, η Microsoft έκανε πολλή δουλειά για να διαχωρίσει το βασικό λειτουργικό σύστημα από τους λογαριασμούς χρηστών για να το καταστήσει πιο ασφαλές. Δεν δόθηκε αρκετή σκέψη για το πώς φαινόταν. Ήταν όλα για το πώς λειτούργησε.
Είναι το conhost.exe ασφαλές;
Όπως πιθανόν ήδη γνωρίζετε, κάποιο κακόβουλο λογισμικό μπορεί να μιμηθεί τις ιδιότητες των νόμιμων διαδικασιών ή προγραμμάτων των Windows. Έτσι, ενώ στην επιφάνεια θα μπορούσε να φαίνεται προφανές ότι το conhost.exe είναι ασφαλές, είναι πάντα καλή ιδέα να ελέγξετε. Δείτε πώς.
- Κάντε δεξί κλικ στη γραμμή εργασιών των Windows και επιλέξτε Διαχείριση εργασιών.
- Κάντε κύλιση προς τα κάτω στις διεργασίες των Windows και εντοπίστε το Host Console των Windows.
- Κάντε δεξί κλικ και επιλέξτε Ιδιότητες.
Στην περιοχή Τοποθεσία, θα πρέπει να δείτε το C: \ Windows \ System32. Όλες οι εμφανίσεις του conhost.exe θα πρέπει να εκτελούνται από το System32, οπότε αν δείτε αυτό, είναι ασφαλές. Εάν η θέση του αρχείου είναι κάτι διαφορετικό, είναι πιθανό να μην είναι νόμιμη.
Ένας τρόπος για να ελέγξετε είναι να χρησιμοποιήσετε τον Διακομιστή διεργασιών. Αυτό είναι ένα πρόγραμμα που παίρνει το Task Manager και το μετατρέπει σε 11. Ανοίξτε το Process Explorer και βρείτε το conhost.exe. Εκτός από το γεγονός ότι σας δείχνει ότι είναι νόμιμο, θα πρέπει επίσης να σας δείξει σε ποιο πρόγραμμα αλληλεπιδρά. Στην εικόνα, μπορείτε να δείτε αυτό στο μηχανισμό των Windows 10 που λειτουργεί με τη διαδικασία Nvidia Web Helper. Αυτή είναι μια νόμιμη εμφάνιση του conhost.exe.
Μπορείτε να επαναλάβετε αυτήν τη διαδικασία για οποιαδήποτε διαδικασία των Windows που θέλετε να ελέγξετε. Κάθε διαδικασία θα πρέπει να έχει την Τοποθεσία της στο C: \ Windows \ System32. Αν δεν συμβαίνει, εκτελέστε το σαρωτή προστασίας από ιούς και κακόβουλο λογισμικό μόνο σε περίπτωση που το κάνετε. Για τις διεργασίες Background, η τοποθεσία πρέπει να ταιριάζει με τον εγκατεστημένο κατάλογο της διαδικασίας.
Ελπίζω ότι θα απαντηθεί επαρκώς στην ερώτηση. Ναι, το conhost.exe είναι νόμιμο και ναι ότι είναι ασφαλές εφόσον έχει την τοποθεσία του στο C: \ Windows \ System32.
Έχετε άλλες διαδικασίες των Windows για τις οποίες θα θέλατε να μάθετε περισσότερα; Ενημερώστε μας για τα παρακάτω, αν το κάνετε και θα προσπαθήσω να απαντήσω όσο μπορώ!
