Несъмнено можете да прочетете тази статия, защото сте се натъкнали на процеса на Host Console Window (conhost.exe) в Task Manager и се чудите какво е то. Имаме отговор за вас.
Тази статия е част от продължаващата ни серия, обясняваща различните процеси, открити в Task Manager, като svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и много други. Не знам какви са тези услуги? По-добре започнете да четете!
Разбирането на процеса на домакинския прозорец на конзолата изисква малко история. В дните на Windows XP командният ред бе управляван от процес, наречен ClientServer Runtime System Service (CSRSS). Както предполага името, CSRSS е услуга на ниво система. Това създаде няколко проблема. Първо, катастрофата в CSRSS би могла да свали цяла система, която не само излага на риск надеждността, но и възможните уязвимости в сигурността. Вторият проблем е, че CSRSS не може да бъде тематично, защото разработчиците не искат да рискуват кода на темата да се изпълняват в системен процес. Така че командният ред винаги е имал класически вид, вместо да използва нови елементи на интерфейса.
Обърнете внимание на екранната снимка на Windows XP, под която командният ред не получава същия стил като приложение като Notepad.
Windows Vista представи Desktop Window Manager - услуга, която "привлича" комбинирани изгледи на прозорци на вашия работен плот, вместо да позволява на всяко отделно приложение да се справя сама по себе си. Командният ред получи някои повърхностни теми от това (подобно на стъклената рамка, която се намира в други прозорци), но това се случи за сметка на това, че можете да плъзгате и пускате файлове, текст и т.н. в прозореца на командния ред.
И все пак, че темата се развиваше досега. Ако погледнете конзолата в Windows Vista, изглежда, че тя използва същата тема като всичко останало, но ще забележите, че падащите ленти все още използват стария стил. Това е така, защото Мениджърът на прозорци на Desktop обработва рисуването на заглавните ленти и рамката, но в старомодния прозорец CSRSS все още стои вътре.
Влезте в Windows 7 и в хоста на конзолния прозорец. Както подсказва името, негов хост процес за прозореца на конзолата. Процесът на сортиране се намира в средата между CSRSS и Command Prompt (cmd.exe), позволявайки на Windows да коригира и двата предишни елемента на интерфейса, като например превъртате правилно и отново можете да плъзгате и пускате в командния ред. И това е методът, който все още се използва в Windows 8 и 10, позволявайки всички нови интерфейсни елементи и стилове, които са дошли от Windows 7.
Въпреки че мениджърът на задачите представя Host Console Window като отделен обект, той все още е тясно свързан с CSRSS. Ако проверите процеса conhost.exe в Process Explorer, можете да видите, че действително работи под процеса csrss.ese.
В крайна сметка конзолата Window Host е нещо като черупка, която поддържа силата на работа на системна услуга като CSRSS, като същевременно осигурява сигурна и надеждна възможност за интегриране на съвременните елементи на интерфейса.
Често ще видите няколко копия на процеса на хост конзола на конзолата, изпълняван в Мениджър на задачи. Всеки потребителски интерфейс на Run Command Prompt ще създаде собствен процес на Host Console Window Host. Освен това други приложения, които използват командния ред, ще създадат свой собствен процес на конзолата за хост на Windows - дори ако не виждате активен прозорец за тях. Добър пример за това е приложението Plex Media Server, което работи като фоново приложение и използва командния ред, за да се направи достъпен за други устройства в мрежата ви.
Много от приложенията на заден план работят по този начин, така че не е необичайно да виждате няколко копия на процеса на Host Console Window Host, които се изпълняват по всяко време. Това е нормално поведение. В по-голямата си част всеки процес трябва да заема много малко памет (обикновено под 10 MB) и почти нулев процесор, освен ако процесът не е активен.
Ако забележите, че конкретен случай на Host Console Window или свързана с него услуга причинява проблеми, като постоянно прекомерно използване на CPU или RAM, можете да проверите конкретните приложения, които са включени. Това може поне да ви даде представа къде да започнете отстраняването на неизправности. За съжаление, самият мениджър на задачите не предоставя добра информация за това. Добрата новина е, че Microsoft предлага отлично усъвършенстван инструмент за работа с процесите като част от неговата серия Sysinternals. Просто изтеглете Process Explorer и го стартирайте - това е преносимо приложение, така че няма нужда да го инсталирате. Process Explorer предоставя всички видове разширени функции - и силно препоръчваме да прочетете нашето ръководство за разбиране на Process Explorer, за да научите повече.
Най-лесният начин да проследявате тези процеси в Process Explorer е първо да натиснете Ctrl + F, за да започнете търсене. Търсете за "conhost" и след това кликнете върху резултатите. Както правите, ще видите прозореца на основния прозорец, за да ви покажем приложението (или услугата), свързано с конкретния случай на Host Console Window.
Ако използването на CPU или RAM показва, че това е инстанцията, която ви причинява проблеми, то поне сте го стеснили до определено приложение.
Самият процес е официален компонент на Windows. Въпреки че е възможно вирусът да е заменил истинския хост на прозореца на конзолата с негов собствен изпълним файл, това е малко вероятно. Ако искате да сте сигурни, можете да проверите основното файлово местоположение на процеса. В Мениджър на задачите щракнете с десния бутон на мишката върху всеки хост на услугата и изберете опцията "Отваряне на файл".
Ако файлът е съхранен във вашия Windows \ System32 папка, тогава може да сте сигурни, че нямате работа с вирус.
Всъщност има троянски кон, наречен Conhost Miner, който се маскира като Процес на хост на прозореца на конзолата. В Task Manager, той изглежда точно като истинския процес, но малкото копаене ще разкрие, че всъщност се съхранява в % Профил_на_потребител% \ AppData \ Roaming \ Microsoft папка, а не Windows \ System32 папка. Троянският троянски коне всъщност се използва за отвличане на компютъра ви в моите Bitcoins, така че другото поведение, което ще забележите, ако е инсталирано на вашата система е, че използването на паметта е по-високо, отколкото може да очаквате, и използването на CPU се поддържа на много високи нива 80%).
Разбира се, използването на добър вирусен скенер е най-добрият начин за предотвратяване (и отстраняване) на зловреден софтуер като Conhost Miner и това е нещо, което трябва да вършите така или иначе. По-добре безопасно, отколкото съжалявам!
