Olet epäilemättä lukenut tämän artikkelin, koska olet joutunut konsolin ikkuna-isäntänimen (conhost.exe) prosessiin Tehtävienhallinnassa ja mietit mitä se on. Meillä on vastaus sinulle.
Tämä artikkeli on osa meneillään olevaa sarjaa, joka selittää eri tehtäviä, jotka löytyvät Task Managerista, kuten svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe ja monet muut. Etkö tiedä mitä nämä palvelut ovat? Parempi aloittaa lukeminen!
Konsoli-ikkunan isäntäprosessin ymmärtäminen vaatii vähän historiaa. Windows XP: n päivinä käsky-kysely käsitteli ClientServer Runtime System Service (CSRSS) -prosessia. Kuten nimestä käy ilmi, CSRSS oli järjestelmän tason palvelu. Tämä loi pari ongelmaa. Ensinnäkin CSRSS: n kaatuminen voisi tuoda esille koko järjestelmän, joka paljastaa paitsi luotettavuusongelmat myös mahdolliset tietoturvahaavat. Toinen ongelma oli, että CSRSS: ää ei voitu tehdä teemoittain, koska kehittäjät eivät halunneet vaarantaa teemakoodia suoritettavaksi järjestelmäprosessissa. Joten komentorivillä oli aina klassinen ilme sen sijaan, että käytät uusia käyttöliittymäelementtejä.
Huomaa Windows XP: n kuvakaappauksessa, että komentokehotteessa ei ole samaa tyyliä kuin sovellus, kuten Notepad.
Windows Vista esitteli Desktop Window Manager -palvelun, joka "vetää" komposiittinäkymiä ikkunoista työpöydälleen sen sijaan, että annettaisiin jokaiselle yksittäiselle sovellukselle itsenäinen käsittely. Komento-kehotus sai jonkin verran pinnallista teemaa tästä (kuten muissa ikkunoissa lasirautainen kehys), mutta se aiheutti sen, että pystyt vetämään ja pudottamaan tiedostoja, tekstiä ja niin edelleen Komento-ikkunaan.
Silti tämä teema vain meni tähän asti. Jos katsot konsolia Windows Vistassa, näyttää siltä, että se käyttää samaa teemaa kuin kaikki muu, mutta huomaat, että vierityspalkit käyttävät edelleen vanhaa tyyliä. Tämä johtuu siitä, että Desktop Window Manager käsittelee piirustuspalkkien ja kehysten piirustuksen, mutta vanhanaikainen CSRSS-ikkuna istuu edelleen.
Anna Windows 7 ja Console Window Host -prosessi. Kuten nimestä käy ilmi, se on isäntäprosessi konsoli-ikkunalle. Prosessityyppi sijaitsee keskellä CSRSS: n ja komentorivin (cmd.exe) välissä, jolloin Windows voi korjata molemmat aikaisemmat ongelmat - käyttöliittymän elementit, kuten rullauspalkit, piirrä oikein ja voit taas vetää ja pudottaa komentokehotteen. Ja se on menetelmä, jota käytetään vielä Windows 8: ssa ja 10: ssa, jolloin kaikki uudet käyttöliittymäelementit ja tyylit ovat tulleet Windows 7: n jälkeen.
Vaikka Tehtäväpäällikkö esittelee konsoli-ikkunan isännän erillisenä kokonaisuutena, se on edelleen läheisessä yhteydessä CSRSS: hen. Jos tarkistat Conhost.exe -prosessin Process Explorerissa, näet, että se todella toimii csrss.ese-prosessin alla.
Lopulta konsoliikkunoiden isäntänä on kuori, joka ylläpitää järjestelmän tason palvelua, kuten CSRSS: tä, samalla kun se turvallisesti ja luotettavasti myöntää kyvyn integroida nykyiset käyttöliittymäelementit.
Usein näet useita esimerkkejä Console Window Host -prosessista, joka toimii Tehtävienhallinnassa. Jokainen komentokehotteen esiintyminen kertoo oman konsoli-ikkunan isäntäprosessin. Lisäksi muut sovellukset, jotka käyttävät komentorivin, tuottavat oman konsolin Windows Host -prosessin - vaikka et näe aktiivista ikkunaa niille. Hyvä esimerkki tästä on Plex Media Server -sovellus, joka toimii taustaohjelmina ja käyttää komentoriviä itselleen muiden verkon laitteiden saataville.
Monet tausta-sovellukset toimivat tällä tavoin, joten ei ole harvinaista, että konsolin ikkuna-isäntäprosessin aikana esiintyy useita tilanteita. Tämä on normaalia käyttäytymistä. Suurimmaksi osaksi jokaisen prosessin pitäisi kestää hyvin vähän muistia (tavallisesti alle 10 Mt) ja melkein nolla CPU, ellei prosessi ole aktiivinen.
Jos huomaat, että Console Window Host -sovelluksen tai siihen liittyvän palvelun aiheuttama ongelma aiheuttaa ongelmia, kuten jatkuva liiallinen suorittimen tai muistin käyttö, voit tarkistaa tietyissä sovelluksissa. Tämä saattaa ainakin antaa sinulle käsityksen mistä aloittaa vianmääritys. Valitettavasti Task Manager itse ei anna hyvää tietoa tästä. Hyvä uutinen on, että Microsoft tarjoaa erinomaisen työkalun prosessien käsittelyyn osana Sysinternals-kokoonpanonsa. Lataa Process Explorer ja suorita se - se on kannettava sovellus, joten sitä ei tarvitse asentaa. Process Explorer tarjoaa kaikenlaisia kehittyneitä ominaisuuksia - ja suosittelemme lukemaan oppaamme ymmärtämään Process Explorer -ohjelmaa saadaksesi lisätietoja.
Helpoin tapa seurata näitä prosesseja Process Explorerissa on aloittaa haku painamalla ensin Ctrl + F. Etsi "conhost" ja napsauta sitten tuloksia. Kuten sinäkin näet ikkunan pääikkunan, joka näyttää sovelluksen (tai palvelun), joka liittyy kyseiseen konsoli-ikkuna-isännöstä.
Jos CPU- tai RAM-käyttö ilmaisee, että tämä on tapaus, joka aiheuttaa sinulle ongelmia, ainakin sinun on kavennettava tiettyyn sovellukseen.
Itse prosessi on virallinen Windows-komponentti. Vaikka on mahdollista, että virus on korvannut todellisen konsoli-ikkunan isännän omalla suoritustiedostollaan, se on epätodennäköistä. Jos haluat olla varma, voit tarkistaa prosessin taustalla olevan tiedoston sijainnin. Napsauta Tehtävienhallinnassa hiiren kakkospainikkeella mitä tahansa Palvelun isäntäprosessia ja valitse vaihtoehto "Avaa tiedoston sijainti".
Jos tiedosto on tallennettu Windows \ System32
kansio, niin voit olla melko varma, ettet käsittele virusta.
Itse asiassa troijalainen siellä on nimeltään Conhost Miner, joka naamioituu konsoliikkunoiden isäntäprosessina. Tehtävänhallinnassa se näyttää aivan kuin todellinen prosessi, mutta pieni kaivaus paljastaa, että se on tosiasiallisesti tallennettu % USERPROFILE% \ AppData \ Roaming \ Microsoft
kansion sijaan Windows \ System32
kansio. Troijalainen on tosiasiassa kaapattu tietokoneesi minun Bitcoins, joten muut käyttäytyminen huomaat, jos se on asennettu järjestelmään on, että muistin käyttö on korkeampi kuin voit odottaa ja CPU käyttö ylläpitää erittäin korkealla tasolla (usein edellä 80%).
Tietenkin hyvä virustarkistus on paras tapa estää (ja poistaa) haittaohjelmia kuten Conhost Miner, ja se on jotain, joka sinun pitäisi tehdä joka tapauksessa. Parempi katsoa kuin katua!