Vakar su manimi susisiekė „TechJunkie“ skaitytojas, paklausdamas apie tam tikrą „Windows“ paslaugą, kurią pastebėjo savo kompiuteryje. Tai buvo „conhost.exe“ ir skaitytojas domėjosi, kas tai buvo, ką jis padarė ir ar saugu naudotis jo asmeniniu kompiuteriu, ar ne.
Atsižvelgiant į visas naujienas apie kompiuterių saugumą, natūralu, kad žmonėms rūpi paslaugos, kurių jie neatpažįsta. Visada siūlyčiau išsiaiškinti, kas yra paslauga ar programa ir ką ji daro, jei to iškart neatpažįstate. Net ir saugiausios sistemos vis tiek gali būti jautrios kenkėjiškoms programoms. Taigi iš tikrųjų geriau būti saugiam nei gailėtis!
Aš visada mielai atsakinėju į su Windows susijusius klausimus, kur tik galiu, todėl čia yra viskas, ką žinau apie conhost.exe.
„Conhost.exe“ sistemoje „Windows“
„Conhost.exe“ rodomas kaip konsolinis „Windows Host“ „Windows 10“ kompiuteriuose. Atidarykite užduočių tvarkytuvę (dešiniuoju pelės mygtuku spustelėkite „Windows“ užduočių juostą ir pasirinkite ją), tada slinkite žemyn iki „Windows“ procesų ir ten turėtų būti vienas ar daugiau jos egzempliorių. Galite pamatyti daugiau atvejų, galbūt ne.
Keli „Conhost.exe“ egzemplioriai yra puikūs, jei atidarote kelias programas, tačiau jei ką tik paleidote kompiuterį iš išjungto būsenos, tai reiškia, kad fone veikia kelios programos, kurių jums nereikia.
Ką veikia „Conhost.exe“?
„Conhost.exe“ yra „crss.exe“, veikusios senesnėse „Windows“ versijose, tokiose kaip XP, evoliucija. „Crss.exe“ buvo tarpininkas, kuris leido GUI programoms sąveikauti su ne Gui programomis, tokiomis kaip komandinė eilutė. Pvz., Jei turėtumėte teksto failą, kuriame yra paketinė komanda, galite vilkti tą tekstinį failą į CMD, o komandinė eilutė galėtų vykdyti paketinį failą. Programos, kurios naudojo grafinę sąsają, taip pat naudotų crss.exe. bendrauti su pulteliu užkulisiuose.
„Crss.exe“ leido pultui atlikti vilkimą ir nuleidimą tradiciškai konsolėje, kurios nereikia vilkti. Tačiau crss.exe darbui naudojo vietinės sistemos paskyrą, kuriai suteikta daug privilegijų, palyginti su kompiuteriu. „Crss.exe“ teoriškai leido išnaudoti sąveiką tarp ribotų vartotojų abonementų, kur veikė GUI programos, ir vietinės sistemos paskyros, kurioje dirbo konsolės programos. Tai suteikė galimybę sujungti kenkėjiškas programas norint neribotai pasiekti kompiuterį.
„Crss.exe“ buvo pakeistas „conhost.exe“ „Windows 7“ ir vis dar yra sistemoje „Windows 10.“ Jis vis tiek daro tą patį, ką ir „crss.exe“, tačiau nesuteikdamas prieigos prie vietinės sistemos paskyrų ar jokių padidintų privilegijų.
„Microsoft Technet“ svetainėje yra naudingas puslapis crss.exe ir conhost.exe.
Kai kurios technologijos svetainės kalba apie conhost.exe, susijusios su estetika ir jomis, tačiau aš netikiu, kad tai tiesa. „Technikos“ puslapyje paaiškinta, kad „conhost.exe“ buvo įvestas siekiant padėti apsaugoti „Windows“ branduolį, nutraukiant jungtį tarp Vartotojo ir Vietinės mašinos paskyrų. Apie tai, kaip atrodo konsolė, nieko neužsimenama.
Tai patvirtina mano paties patirtis su įvairių kartų „Windows Server“. Nuo „Server 2003“, „Microsoft“ daug dirbo, norėdama atskirti pagrindinę OS nuo vartotojo abonementų, kad ji būtų saugesnė. Nebuvo daug mąstoma, kaip tai atrodė. Viskas buvo apie tai, kaip ji veikė.
Ar „conhost.exe“ yra saugu?
Kaip jau tikriausiai žinote, kai kurios kenkėjiškos programos gali imituoti teisėtų „Windows“ procesų ar programų savybes. Taigi, nors paviršiuje gali atrodyti akivaizdu, kad conhost.exe yra saugus, visada verta patikrinti. Štai kaip.
- Dešiniuoju pelės mygtuku spustelėkite „Windows“ užduočių juostą ir pasirinkite „Task Manager“.
- Slinkite žemyn iki „Windows“ procesų ir raskite konsolę „Windows Host“.
- Dešiniuoju pelės mygtuku spustelėkite ir pasirinkite Ypatybės.
Skiltyje Vieta turėtumėte pamatyti C: \ Windows \ System32. Visi conhost.exe egzemplioriai turėtų būti paleisti iš „System32“, taigi, jei tai matote, jis yra saugus. Jei failo vieta yra kažkas kita, greičiausiai tai nėra teisėta.
Vienas iš būdų patikrinti yra naudoti „Process Explorer“. Tai programa, kuri paleidžia „Task Manager“ ir paverčia ją iki 11. Atidarykite „Process Explorer“ ir raskite „conhost.exe“. Tai ne tik parodys, kad tai teisėta, bet ir turėtų parodyti, su kuria programa ji sąveikauja. Vaizde galite pamatyti tą, kuris mano „Windows 10“ kompiuteryje veikia su „Nvidia Web Helper“ procesu. Tai yra teisėtas „conhost.exe“ egzempliorius.
Šį procesą galite pakartoti bet kuriam „Windows“ procesui, kurį norite patikrinti. Kiekvieno proceso vieta turėtų būti C: \ Windows \ System32. Jei taip nėra, paleiskite antivirusinių ir kenkėjiškų programų skaitytuvą. Fono procesams vieta turėtų atitikti įdiegtą proceso katalogą.
Tikiuosi, kad į šį klausimą buvo tinkamai atsakyta. Taip, „conhost.exe“ yra teisėtas ir taip, jis yra saugus tol, kol jo buvimo vieta yra C: \ Windows \ System32.
Turite kitus „Windows“ procesus, apie kuriuos norėtumėte sužinoti daugiau? Papasakokite apie juos žemiau, jei jūs darysite, ir aš pabandysiu atsakyti kuo daugiau!
