קורא TechJunkie פנה אלי אתמול ושאל על שירות חלונות מסוים שהוא הבחין במחשב שלו. זה היה 'conhost.exe' והקורא תהה מה זה, מה זה עשה והאם זה בטוח להפעלה במחשב האישי שלו או לא.
בהתחשב בכל החדשות בנושא אבטחת מחשבים, טבעי שאנשים מודאגים משירותים שאינם מכירים. תמיד הייתי ממליץ לברר מהו שירות או תוכנית ומה עושים אם לא מזהים אותו מייד. אפילו המערכות המאובטחות ביותר עדיין יכולות להיות רגישות לתוכנות זדוניות. אז באמת עדיף להיות בטוח מאשר להצטער!
אני תמיד שמח לענות על שאלות הקשורות לחלונות בכל מקום שאוכל, אז הנה כל מה שאני יודע על conhost.exe.
Conhost.exe במערכת Windows
Conhost.exe מופיע כמארח Windows Console במחשבי Windows 10. פתח את מנהל המשימות (לחץ באמצעות לחצן העכבר הימני על סרגל המשימות של Windows ובחר בו), ואז גלול מטה אל תהליכי Windows ויהיו אמורים להופיע מופע אחד או יותר. יתכן שתראה מקרים נוספים, ייתכן שלא.
מופעים מרובים של Conhost.exe הם בסדר אם יש לך תוכניות מרובות פתוחות, אבל אם אתה רק אתחל את המחשב שלך ממצב מופעל, זה אומר שיש לך כמה תוכניות הפועלות ברקע שאתה לא צריך.
מה עושה Conhost.exe?
Conhost.exe הוא אבולוציה של crss.exe שרצה בגירסאות ישנות יותר של Windows כמו XP. Crss.exe היה ממשק API מתווך שאיפשר ליישומי GUI ליצור אינטראקציה עם יישומים שאינם Gui כמו שורת הפקודה. לדוגמה, אם היה לך קובץ טקסט המכיל פקודת אצווה, אתה יכול לגרור את קובץ הטקסט הזה ל- CMD ושורת הפקודה יכולה לבצע את קובץ האצווה. תוכניות שהשתמשו בממשק משתמש GUI ישתמשו גם ב- crss.exe. ליצור אינטראקציה עם הקונסולה מאחורי הקלעים.
Crss.exe איפשר לקונסולה לבצע גרירה ושחרור במסוף שאינו גרור ושחרר באופן מסורתי. עם זאת, crss.exe השתמש בחשבון המערכת המקומית כדי לעבוד שיש לו הרבה הרשאות על מחשב. תיאורטית Crss.exe אפשרה לניצולים לקיים אינטראקציה בין חשבונות משתמשים מוגבלים שבהם עבדו תוכנות GUI לבין חשבון המערכת המקומית בה עבדו יישומי המסוף. זה סיפק משהו מגשר לתוכנות זדוניות כדי לקבל גישה בלתי מוגבלת למחשב שלך.
Crss.exe הוחלף ב- conhost.exe במערכת Windows 7 והוא עדיין קיים במערכת Windows 10. הוא עדיין עושה את אותו הדבר כמו crss.exe אך מבלי להעניק גישה לחשבונות מערכת מקומיים או הרשאות מוגדלות.
באתר Microsoft Technet יש דף שימושי ב- crss.exe ו- conhost.exe.
כמה אתרי אינטרנט טכניים מדברים על conhost.exe הנוגעים לעצמה עם אסתטיקה ונושאים, אך אני לא מאמין שזה נכון. בדף הטכנית מסבירים כי conhost.exe הוצג כדי לסייע באבטחת ליבת Windows על ידי פריצת הגשר בין חשבונות משתמש לחשבונות מחשב מקומי. הוא לא מזכיר דבר לגבי אופן הופעת הקונסולה.
הניסיון שלי עם Windows Server של דורות שונים מגבה זאת. מאז שרת 2003, מיקרוסופט עשתה הרבה כדי להפריד בין מערכת ההפעלה הליבה לבין חשבונות משתמשים על מנת להפוך אותה לבטוחה יותר. לא הושקעה מחשבה רבה לאיך זה נראה. הכל היה זה איך זה עבד.
האם conhost.exe בטוח?
כפי שאתה בטח כבר יודע, תוכנות זדוניות מסוימות יכולות לחקות את המאפיינים של תהליכים או תוכניות Windows לגיטימיים. כך שעל פני השטח זה עשוי להיראות ברור כי conhost.exe הוא בטוח, תמיד כדאי לבדוק. הנה איך.
- לחץ באמצעות לחצן העכבר הימני על סרגל המשימות של Windows ובחר במנהל המשימות.
- גלול מטה אל תהליכי Windows ואתר את Console Windows Host.
- לחץ באמצעות לחצן העכבר הימני ובחר מאפיינים.
תחת מיקום, אתה אמור לראות את C: \ Windows \ System32. כל המקרים של conhost.exe צריכים לרוץ מ- System32 כך שאם אתה רואה זאת, זה בטוח. אם מיקום הקבצים הוא משהו שונה, סביר להניח שהוא לא יהיה לגיטימי.
אחת הדרכים לבדוק היא להשתמש ב- Explorer Explorer. זוהי תוכנית שלוקחת את מנהל המשימות והופכת אותה ל -11. פתח את סייר התהליך ומצא conhost.exe. בנוסף להראות לך שהיא לגיטימית, עליה גם להראות לך עם איזו תוכנית היא מקיימת אינטראקציה. בתמונה, אתה יכול לראות את זה במחשב Windows 10 שלי עובד עם תהליך Nvidia Web Helper. זהו מקרה לגיטימי של conhost.exe.
אתה יכול לחזור על תהליך זה על כל תהליך Windows שתרצה לבדוק. כל תהליך צריך להיות במיקום שלו ב- C: \ Windows \ System32. אם לא, הרץ את סורק האנטי-וירוס והתוכנות הזדוניות שלך למקרה. לגבי תהליכי רקע, המיקום צריך להתאים לספריה המותקנת של התהליך.
אני מקווה שענה כראוי על השאלה. כן, conhost.exe הוא לגיטימי וכן הוא בטוח כל עוד יש את המיקום שלו ב- C: \ Windows \ System32.
יש לך תהליכים אחרים של Windows שתרצה לדעת יותר עליהם? ספר לנו עליהם למטה אם כן, ואנסה לענות לכמה שיותר!
