Читач TechJunkie зв’язався зі мною вчора, запитавши про конкретну службу Windows, яку він помітив на своїй машині. Це було "conhost.exe", і читач цікавився, що це таке, що він робить і чи безпечно працювати на своєму ПК чи ні.
З огляду на всі новини про комп'ютерну безпеку, природно, що людей турбують послуги, які вони не визнають. Я завжди пропоную з’ясувати, що таке послуга чи програма, і що вона робить, якщо ви не відразу розпізнаєте її. Навіть найзахищеніші системи все ще можуть сприйняти шкідливі програми. Так що насправді краще бути в безпеці, ніж шкодувати!
Я завжди радий відповідати на питання, пов’язані з Windows, куди можу, ось усе, що я знаю про conhost.exe.
Conhost.exe в Windows
Conhost.exe з'являється як консольний хост Windows на комп’ютерах Windows 10. Відкрийте диспетчер завдань (клацніть правою кнопкою миші на панелі завдань Windows і виберіть його), потім прокрутіть униз до процесів Windows, і там має працювати один або кілька примірників. Ви можете побачити більше примірників, ви можете.
Кілька примірників Conhost.exe добре, якщо у вас відкрито кілька програм, але якщо ви просто завантажили комп'ютер із стану вимкненого режиму, це означає, що у вас є кілька програм, які працюють у фоновому режимі, які вам не потрібні.
Що робить Conhost.exe?
Conhost.exe - це еволюція crss.exe, яка працювала на старих версіях Windows, таких як XP. Crss.exe був посередницьким API, який дозволяв додаткам графічного інтерфейсу взаємодіяти з програмами, які не є Gui, такими як командний рядок. Наприклад, якщо у вас був текстовий файл, який містить пакетну команду, ви можете перетягнути цей текстовий файл у CMD, і командний рядок міг би виконати пакетний файл. Програми, які використовували графічний інтерфейс, також використовуватимуть crss.exe. взаємодіяти з консоллю за лаштунками.
Crss.exe дозволив консолі виконувати перетягування в традиційно консолі, що не перетягує. Однак crss.exe використовував обліковий запис локальної системи для роботи, яка має багато привілеїв над комп'ютером. Crss.exe теоретично дозволив експлуатувати взаємодію між обмеженими обліковими записами користувачів, де працювали програми GUI, та обліковим записом локальної системи, де працювали консольні програми. Це дало змогу зловмисному програмному забезпеченню отримати необмежений доступ до вашого комп’ютера.
Crss.exe був замінений на conhost.exe в Windows 7 і все ще присутній в Windows 10. Він все одно робить те саме, що і crss.exe, але без надання доступу до облікових записів локальної системи або будь-яких підвищених привілеїв.
На веб-сайті Microsoft Technet є корисна сторінка на сторінці crss.exe та conhost.exe.
Деякі веб-сайти говорять про conhost.exe, що стосується естетики та тематики, але я не вважаю це правдою. На сторінці Technet пояснюється, що conhost.exe був введений, щоб допомогти захистити ядро Windows, переступивши цей міст між обліковими записами користувачів та обліковими записами локальної машини. У ньому нічого не згадується про те, як виглядає консоль.
Мій власний досвід роботи з Windows Server різних поколінь підтверджує це. Починаючи з Server 2003, Microsoft зробив багато роботи, щоб відокремити основну ОС від облікових записів користувачів, щоб зробити її більш захищеною. Не так багато думок було приділено тому, як це виглядало. Все було про те, як це працювало.
Чи безпечно conhost.exe?
Як ви, напевно, вже знаєте, деякі зловмисні програми можуть імітувати властивості законних процесів чи програм Windows. Тому, хоча на поверхні може здатися очевидним, що conhost.exe є безпечним, це завжди добре перевірити. Ось як.
- Клацніть правою кнопкою миші панель завдань Windows і виберіть Диспетчер завдань.
- Прокрутіть униз до процесів Windows та знайдіть консоль Windows Host.
- Клацніть правою кнопкою миші та виберіть Властивості.
У розділі "Місце розташування" слід побачити C: \ Windows \ System32. Усі екземпляри conhost.exe повинні працювати з System32, тому якщо ви бачите це, це безпечно. Якщо розташування файлу щось інше, воно, ймовірно, не буде законним.
Один із способів перевірити - це використовувати Провідник процесів. Це програма, яка приймає диспетчер завдань і збільшує її до 11. Відкрийте Провідник процесів і знайдіть conhost.exe. Окрім того, щоб показати вам, що це законно, він також повинен показати вам, з якою програмою ви взаємодієте. На зображенні ви бачите той, який працює на моїй машині Windows 10, яка працює з веб-помічником Nvidia. Це законний примірник conhost.exe.
Ви можете повторити цей процес для будь-якого процесу Windows, який ви хочете перевірити. Кожен процес повинен мати своє місцезнаходження за адресою C: \ Windows \ System32. Якщо цього не відбувається, запустіть свій антивірусний та зловмисне програмне забезпечення на всякий випадок. Для фонових процесів Місце розташування повинно відповідати встановленому каталогу процесу.
Я сподіваюся, що адекватно відповів на питання. Так, conhost.exe є законним, і так, це безпечно, доки він має своє місцезнаходження за адресою C: \ Windows \ System32.
Є якісь інші процеси Windows, про які ви хочете дізнатися більше? Розкажіть про них нижче, якщо ви це зробите, і я спробую відповісти стільки, скільки можу!
