Čitateľ TechJunkie ma včera kontaktoval so žiadosťou o konkrétnu službu Windows, ktorú si všimol na svojom počítači. Bol to 'conhost.exe' a čitateľ sa čudoval, čo to je, čo to robilo a či bolo bezpečné bežať na jeho PC alebo nie.
Vzhľadom na všetky správy o počítačovej bezpečnosti je prirodzené, že ľudia sa obávajú služieb, ktoré nepoznajú. Vždy by som navrhol zistiť, čo je služba alebo program a čo robí, ak to okamžite nepoznáte. Dokonca aj najbezpečnejšie systémy môžu byť stále citlivé na malware. Takže je skutočne lepšie byť v bezpečí ako ľutovať!
Vždy som rád, že môžem odpovedať na otázky týkajúce sa systému Windows, kdekoľvek to je možné, takže tu je všetko, čo viem o conhost.exe.
Conhost.exe vo Windows
Program Conhost.exe sa v počítačoch so systémom Windows 10 zobrazuje ako konzola Windows Host. Otvorte Správcu úloh (kliknite pravým tlačidlom myši na paneli úloh systému Windows a vyberte ho), potom prejdite nadol na procesy systému Windows a mala by existovať jedna alebo viac inštancií. Môžete vidieť viac prípadov.
Viaceré prípady programu Conhost.exe sú v poriadku, ak máte otvorených viacero programov, ale ak ste práve zaviedli počítač z vypnutého stavu, znamená to, že máte na pozadí niekoľko programov, ktoré nepotrebujete.
Čo robí Conhost.exe?
Conhost.exe je vývojom crss.exe, ktorý bežal na starších verziách systému Windows, napríklad XP. Crss.exe bol sprostredkovateľský API, ktorý umožnil GUI aplikáciám interagovať s aplikáciami mimo Gui, ako je napríklad príkazový riadok. Napríklad, ak ste mali textový súbor obsahujúci dávkový príkaz, môžete tento textový súbor pretiahnuť do CMD a príkazový riadok by mohol vykonať dávkový súbor. Programy, ktoré používali GUI, by tiež používali crss.exe. komunikovať s konzolou v zákulisí.
Crss.exe dovolil konzole vykonávať drag and drop v tradične non-drag and drop konzoly. Crss.exe však používal lokálny systémový účet na prácu, ktorý má veľa oprávnení na počítači. Crss.exe teoreticky umožnil zneužívať interakcie medzi obmedzenými užívateľskými účtami, v ktorých programy GUI pracovali, a účtom Local System, kde fungovali aplikácie konzoly. To poskytlo niečo mostu pre malware na získanie neobmedzeného prístupu k vášmu počítaču.
Crss.exe bol v systéme Windows 7 nahradený súborom conhost.exe a je stále prítomný v systéme Windows 10. Stále robí to isté ako crss.exe, ale bez udelenia prístupu k účtom miestneho systému alebo k akýmkoľvek zvýšeným oprávneniam.
Webová stránka Microsoft Technet má užitočnú stránku na stránkach crss.exe a conhost.exe.
Niektoré technické webové stránky hovoria o súbore conhost.exe, ktorý sa týka estetiky a tematiky, ale neverím, že je to pravda. Stránka Technet vysvetľuje, že bol zavedený súbor conhost.exe, ktorý má pomôcť zabezpečiť jadro systému Windows prerušením tohto mosta medzi účtami Používateľov a Účty miestneho počítača. Nezmieňuje sa nič o tom, ako sa konzola objaví.
Moje skúsenosti so systémom Windows Server rôznych generácií to potvrdzujú. Od servera 2003 spoločnosť Microsoft vykonala veľa práce, aby oddelila základné OS od používateľských účtov, aby sa zvýšila jeho bezpečnosť. Na to, ako to vyzeralo, sa príliš nerozmýšľalo. Bolo to všetko o tom, ako to funguje.
Je conhost.exe bezpečný?
Ako už pravdepodobne viete, určitý malware môže napodobňovať vlastnosti legitímnych procesov alebo programov systému Windows. Takže zatiaľ čo na povrchu sa môže zdať zrejmé, že conhost.exe je bezpečný, vždy je dobré skontrolovať ho. Tu je návod.
- Pravým tlačidlom myši kliknite na panel úloh systému Windows a vyberte položku Správca úloh.
- Prejdite nadol na procesy systému Windows a vyhľadajte konzolu Windows Host.
- Kliknite pravým tlačidlom myši a vyberte položku Vlastnosti.
V časti Umiestnenie by ste mali vidieť C: \ Windows \ System32. Všetky inštancie conhost.exe by sa mali spúšťať zo systému System32, takže ak to vidíte, je to bezpečné. Ak je umiestnenie súboru niečo iné, pravdepodobne nebude legitímne.
Jeden spôsob, ako skontrolovať, je použitie Process Explorer. Toto je program, ktorý používa Správcu úloh a zobrazí ho až 11. Otvorte program Process Explorer a vyhľadajte súbor conhost.exe. Okrem toho, že vám ukážeme, že je legitímna, by vám mala ukázať, s ktorým programom interaguje. Na obrázku vidíte, že ten na mojom počítači so systémom Windows 10 pracuje s procesom Nvidia Web Helper. Toto je legitímna inštancia súboru conhost.exe.
Tento proces môžete zopakovať pre akýkoľvek proces Windows, ktorý chcete skontrolovať. Každý proces by mal mať svoje umiestnenie na C: \ Windows \ System32. Ak sa tak nestane, spustite antivírusový program a skener malware. V prípade procesov na pozadí by sa umiestnenie malo zhodovať s inštalovaným adresárom procesu.
Dúfam, že to primerane zodpovedalo otázku. Áno, conhost.exe je legitímny a áno, je bezpečný, pokiaľ má svoje umiestnenie na C: \ Windows \ System32.
Máte nejaké ďalšie procesy Windows, o ktorých by ste sa chceli dozvedieť viac? Povedzte nám o nich nižšie, ak tak urobíte a ja sa pokúsim odpovedať čo najviac, ako dokážem!
