Какво е conhost.exe и защо се изпълнява?

Несъмнено четете тази статия, защото сте попаднали на процеса на хост на прозореца на конзолата (conhost.exe) в диспечера на задачите и се чудите какво е това. Имаме отговор за вас.

СВЪРЗАНИ: Какво представлява този процес и защо се изпълнява на моя компютър?

Тази статия е част от текущата ни поредица, обясняваща различни процеси, намерени в диспечера на задачите, като svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и много други. Не знаете какви са тези услуги? По-добре започнете да четете!

И така, какъв е процесът на хост на прозореца на конзолата?

Разбирането на процеса на хост на прозореца на конзолата изисква малко история. В дните на Windows XP командният ред се обработваше от процес, наречен ClientServer Runtime System Service (CSRSS). Както подсказва името, CSRSS е услуга на системно ниво. Това създаде няколко проблема. Първо, сривът в CSRSS може да събори цяла система, която излага не само проблеми с надеждността, но и възможни уязвимости в сигурността. Вторият проблем беше, че CSRSS не може да бъде тематичен, тъй като разработчиците не искаха да рискуват кода на темата да се изпълнява в системен процес. Така че командният ред винаги е имал класически вид, вместо да използва нови елементи на интерфейса.

Забележете на екранната снимка на Windows XP по-долу, че командният ред не получава същия стил като приложение като Notepad.

СВЪРЗАНИ: Какво представлява Desktop Window Manager (dwm.exe) и защо се изпълнява?

Windows Vista представи Desktop Window Manager - услуга, която „рисува“ съставни изгледи на прозорци на вашия работен плот, вместо да позволява на всяко отделно приложение да се справя самостоятелно. Командният ред получи някои повърхностни теми от това (като стъклената рамка, присъстваща в други прозорци), но това стана за сметка на възможността за плъзгане и пускане на файлове, текст и т.н. в прозореца на командния ред.

И все пак това тематизиране стигна само дотук. Ако погледнете конзолата в Windows Vista, изглежда, че използва същата тема като всичко останало, но ще забележите, че лентите за превъртане все още използват стария стил. Това е така, защото мениджърът на прозореца на работния плот се справя с изчертаването на заглавните ленти и рамката, но вътре остава старомоден CSRSS прозорец.

Въведете Windows 7 и процеса на хост на прозореца на конзолата. Както подсказва името, това е хостов процес за прозореца на конзолата. Процесът е разположен в средата между CSRSS и командния ред (cmd.exe), позволявайки на Windows да поправи и двата предишни проблема - елементите на интерфейса като плъзгачите се изчертават правилно и можете отново да плъзгате и пускате в командния ред. И това е методът, който все още се използва в Windows 8 и 10, като позволява всички нови елементи на интерфейса и стил, които се появяват след Windows 7.

Въпреки че диспечерът на задачите представя хоста на прозореца на конзолата като отделен обект, той все още е тясно свързан с CSRSS. Ако проверите процеса conhost.exe в Process Explorer, можете да видите, че той действително работи под процеса csrss.ese.

В крайна сметка хостът на прозореца на конзолата е нещо като обвивка, която поддържа силата на стартиране на услуга на системно ниво като CSRSS, като същевременно осигурява сигурно и надеждно способността да интегрира съвременни елементи на интерфейса.

Защо има няколко екземпляра на протичащия процес?

Често ще видите няколко екземпляра на процеса на хост на прозореца на конзолата, който се изпълнява в диспечера на задачите. Всеки екземпляр на командния ред, който се изпълнява, ще породи собствен процес на хост на прозореца на конзолата. В допълнение, други приложения, които използват командния ред, ще създадат свой собствен хостов процес на конзолата на Windows - дори ако не виждате активен прозорец за тях. Добър пример за това е приложението Plex Media Server, което работи като фоново приложение и използва командния ред, за да стане достъпно за други устройства във вашата мрежа.

Много фонови приложения работят по този начин, така че не е необичайно да видите множество екземпляри от процеса на хост на прозореца на конзолата, работещи по всяко време. Това е нормално поведение. В по-голямата си част всеки процес трябва да заема много малко памет (обикновено под 10 MB) и почти нула процесор, освен ако процесът не е активен.

Въпреки това, ако забележите, че конкретен екземпляр на хост на прозореца на конзолата - или свързана услуга - създава проблеми, като непрекъснато прекомерно използване на процесора или RAM, можете да проверите в конкретните приложения, които участват. Това поне може да ви даде представа откъде да започнете да отстранявате неизправности. За съжаление самият диспечер на задачите не предоставя добра информация за това. Добрата новина е, че Microsoft предоставя отличен усъвършенстван инструмент за работа с процеси като част от своята гама Sysinternals. Просто изтеглете Process Explorer и го стартирайте - това е преносимо приложение, така че няма нужда да го инсталирате. Process Explorer предоставя всички видове разширени функции - и ние силно препоръчваме да прочетете нашето ръководство за разбиране на Process Explorer, за да научите повече.

СВЪРЗАНИ: Какво е „преносимо“ приложение и защо е важно?

Най-лесният начин да проследите тези процеси в Process Explorer е първо да натиснете Ctrl + F, за да започнете търсене. Потърсете „conhost“ и след това кликнете върху резултатите. Както правите, ще видите промяната на основния прозорец, за да ви покаже приложението (или услугата), свързано с конкретния екземпляр на хост на прозореца на конзолата.

Ако използването на процесора или RAM показва, че това е екземплярът, който ви създава проблеми, то поне сте го стеснили до конкретно приложение.

Може ли този процес да бъде вирус?

Самият процес е официален компонент на Windows. Въпреки че е възможно вирус да е заменил истинския хост на прозореца на конзолата със собствен изпълним файл, това е малко вероятно. Ако искате да сте сигурни, можете да проверите местоположението на основния файл на процеса. В диспечера на задачите щракнете с десния бутон върху който и да е процес на хост на услугата и изберете опцията „Отворете местоположението на файла“.

Ако файлът се съхранява във вашата Windows\System32папка, можете да сте сигурни, че нямате работа с вирус.

Всъщност има троянски кон на име Conhost Miner, който се маскира като процес на хост на прозореца на конзолата. В диспечера на задачите той изглежда точно като реалния процес, но малко копаене ще разкрие, че всъщност се съхранява в %userprofile%\AppData\Roaming\Microsoftпапката, а не в Windows\System32папката. Троянският код всъщност се използва за отвличане на вашия компютър за добив на биткойни, така че другото поведение, което ще забележите, ако е инсталирано на вашата система, е, че използването на памет е по-високо, отколкото бихте очаквали, а използването на процесора се поддържа на много високи нива (често по-горе 80%).

СВЪРЗАНИ: Кой е най-добрият антивирус за Windows 10? (Достатъчно добър ли е Windows Defender?)

Разбира се, използването на добър скенер за вируси е най-добрият начин за предотвратяване (и премахване) на зловреден софтуер като Conhost Miner и това е нещо, което трябва да правите така или иначе. По-добре безопасно, отколкото съжалявам!