一名TechJunkie读者昨天与我联系,询问他在计算机上注意到的特定Windows服务。 它是“ conhost.exe”,读者想知道它是什么,它做了什么,以及在他的PC上运行是否安全。
有了有关计算机安全性的所有新闻,人们自然会担心自己不认识的服务。 我总是建议您找出什么是服务或程序,以及如果您不立即意识到它的功能。 即使是最安全的系统也仍然容易受到恶意软件的攻击。 因此,安全起来总比后悔好!
我总是很乐意在任何地方回答与Windows有关的问题,所以这是我所知道的关于conhost.exe的所有信息。
Windows中的Conhost.exe
Conhost.exe在Windows 10计算机中显示为控制台Windows主机。 打开任务管理器(右键单击Windows任务栏并选择它),然后向下滚动到Windows进程,并且应该有一个或多个实例正在运行。 您可能会看到更多实例,但可能不会。
如果打开了多个程序,则可以使用Conhost.exe的多个实例,但是,如果只是从关机状态启动计算机,则意味着有一些不需要的程序在后台运行。
Conhost.exe是做什么的?
Conhost.exe是crss.exe的演进版本,可在Windows的旧版本(例如XP)上运行。 Crss.exe是一个中间人API,它允许GUI应用程序与非Gui应用程序(例如命令行)进行交互。 例如,如果您有一个包含批处理命令的文本文件,则可以将该文本文件拖到CMD中,并且命令行可以执行该批处理文件。 使用GUI的程序也将使用crss.exe。 在后台与控制台进行交互。
Crss.exe允许控制台在传统的非拖放控制台中执行拖放。 但是,crss.exe使用本地系统帐户来工作,该帐户在计算机上具有很多特权。 从理论上讲,Crss.exe允许漏洞利用程序在GUI程序有效的受限用户帐户和控制台应用程序有效的本地系统帐户之间进行交互。 这为恶意软件获得不受限制的计算机访问提供了桥梁。
在Windows 7中,Crss.exe被conhost.exe替换,并且在Windows 10中仍然存在。它仍然与crss.exe相同,但不授予对本地系统帐户的访问权限或任何提升的特权。
Microsoft Technet网站在crss.exe和conhost.exe上有一个有用的页面。
一些科技网站以美观和主题形式谈论conhost.exe本身,但我认为这不是真的。 Technet页上介绍了conhost.exe的引入,它通过打破用户帐户和本地计算机帐户之间的桥梁来帮助保护Windows核心。 它没有提到控制台的显示方式。
我自己对Windows Server的不同经验支持了这一点。 从Server 2003开始,Microsoft进行了大量工作以将核心操作系统与用户帐户分开,以使其更加安全。 对于它的外观并没有太多考虑。 一切都是关于它如何工作的。
conhost.exe安全吗?
您可能已经知道,某些恶意软件可以模仿合法Windows进程或程序的属性。 因此,从表面上看,conhost.exe似乎很安全,但检查始终是一个好主意。 这是如何做。
- 右键单击Windows任务栏,然后选择任务管理器。
- 向下滚动到Windows进程,然后找到控制台Windows主机。
- 右键单击并选择属性。
在位置下,您应该看到C:\ Windows \ System32。 conhost.exe的所有实例都应从System32运行,因此,如果看到此内容,它是安全的。 如果文件位置不同,则可能不合法。
一种检查方法是使用Process Explorer。 这是一个使用任务管理器并将其启动为11的程序。打开Process Explorer并找到conhost.exe。 除了向您显示它是合法的之外,它还应向您显示它正在与哪个程序进行交互。 在该图像中,您可以看到Windows 10计算机上的计算机正在与Nvidia Web Helper进程配合使用。 这是conhost.exe的合法实例。
您可以对要检出的任何Windows进程重复此过程。 每个进程的位置都应位于C:\ Windows \ System32。 如果没有,请运行防病毒和恶意软件扫描程序以防万一。 对于后台进程,该位置应与该进程的安装目录匹配。
我希望能充分回答这个问题。 是的,conhost.exe是合法的,并且只要它的位置在C:\ Windows \ System32,它就是安全的。
您还想了解其他Windows进程吗? 如果您愿意的话,请在下面告诉我们,我将尽我所能回答!
