TechJunkie-lukija otti minuun yhteyttä eilen ja kysyi tietystä Windows-palvelusta, jonka hän huomasi koneellaan. Se oli 'conhost.exe', ja lukija ihmetteli, mikä se oli, mitä se teki ja onko tietokoneessa ajaminen turvallista vai ei.
Kaikkien tietoturvatiedotteiden perusteella on luonnollista, että ihmiset ovat huolissaan palveluista, joita he eivät tunnista. Ehdotan aina selvittää, mikä palvelu tai ohjelma on ja mitä se tekee, jos et tunnista sitä heti. Jopa kaikkein turvallisimmat järjestelmät voivat silti olla alttiita haittaohjelmille. Joten on todellakin parempi olla turvassa kuin pahoillani!
Vastaan mielelläni Windows-kysymyksiin missä vain voin, joten tässä on kaikki mitä tiedän conhost.exesta.
Conhost.exe Windowsissa
Conhost.exe näkyy konsolina Windows-isäntänä Windows 10 -tietokoneissa. Avaa Tehtävienhallinta (napsauta hiiren kakkospainikkeella Windowsin tehtäväpalkkia ja valitse se), vieritä sitten alas Windows-prosesseihin ja sitä pitäisi olla käynnissä vähintään yksi. Saatat nähdä enemmän tapauksia, et ehkä.
Useat Conhost.exe-tapaukset ovat hienoja, jos useita ohjelmia on avoinna, mutta jos käynnistit tietokoneesi vain pois päältä -tilasta, se tarkoittaa, että taustalla on käynnissä muutama ohjelma, jota et tarvitse.
Mitä Conhost.exe tekee?
Conhost.exe on crss.exe-version kehitys, joka toimi Windowsin vanhemmissa versioissa, kuten XP. Crss.exe oli välittäjä-sovellusliittymä, joka sallii GUI-sovellusten olla vuorovaikutuksessa muiden kuin Gui-sovellusten, kuten komentorivin, kanssa. Jos sinulla olisi esimerkiksi tekstitiedosto, joka sisältää eräkomennon, voit vetää kyseisen tekstitiedoston CMD: hen ja komentorivi voi suorittaa eräajotiedoston. Ohjelmat, jotka käyttivät graafista käyttöliittymää, käyttäisivät myös crss.exe-tiedostoa. olla vuorovaikutuksessa kulissien takana olevan konsolin kanssa.
Crss.exe salli konsolin suorittaa vetämistä ja pudottamista perinteisesti vedä ja pudota -konsolissa. Crss.exe käytti kuitenkin Local System -tiliä työhön, jolla on paljon tietokoneen käyttöoikeuksia. Crss.exe sallii teoreettisesti hyödyntää vuorovaikutusta rajoitettujen käyttäjätilien, joissa GUI-ohjelmat toimivat, ja paikallisen järjestelmän tilin, jossa konsoli-sovellukset toimivat. Tämä tarjosi jotain siltaa haittaohjelmille rajoittamattoman pääsyn tietokoneellesi.
Crss.exe korvattiin conhost.exe -versiolla Windows 7: ssä ja on edelleen läsnä Windows 10: ssä. Se toimii edelleen samalla tavalla kuin crss.exe, mutta myöntämättä pääsyä paikallisen järjestelmän tileille tai korotettuja oikeuksia.
Microsoft Technet -sivustolla on hyödyllinen sivu crss.exe ja conhost.exe.
Jotkut tekniikan verkkosivustot puhuvat conhost.exe-ohjelmasta koskien itsensä estetiikkaa ja niitä, mutta en usko tämän olevan totta. Technet-sivulla selitetään, että conhost.exe otettiin käyttöön auttamaan Windows-ytimen suojaamista katkaisemalla silta käyttäjätilien ja paikallisten koneiden tilien välillä. Se ei mainitse mitään siitä, kuinka konsoli näyttää.
Omat kokemukset eri sukupolvien Windows Serveristä Windows Serverillä tukevat tätä. Server 2003: n jälkeen Microsoft on tehnyt paljon työtä erottaakseen ydinjärjestelmän käyttäjätilistä varmistaakseen sen turvallisuuden. Mitään ei ajateltu siitä, miltä se näytti. Kyse oli siitä, kuinka se toimi.
Onko conhost.exe turvallinen?
Kuten todennäköisesti jo tiedät, jotkut haittaohjelmat voivat jäljitellä laillisten Windows-prosessien tai -ohjelmien ominaisuuksia. Joten vaikka pinnalla saattaa tuntua itsestään selvältä, että conhost.exe on turvallinen, se on aina hyvä idea tarkistaa. Tässä on miten.
- Napsauta hiiren kakkospainikkeella Windowsin tehtäväpalkkia ja valitse Tehtävienhallinta.
- Vieritä alas kohtaan Windows-prosessit ja etsi Console Windows Host.
- Napsauta hiiren kakkospainikkeella ja valitse Ominaisuudet.
Kohdassa Sijainti pitäisi näkyä C: \ Windows \ System32. Kaikkien conhost.exe-esiintymien tulisi olla suoritettu System32: ltä, joten jos näet tämän, se on turvallinen. Jos tiedoston sijainti on jotain erilaista, se ei todennäköisesti ole laillinen.
Yksi tapa tarkistaa on käyttää Process Exploreria. Tämä on ohjelma, joka ottaa Task Manager -sovelluksen ja muuttaa sen arvoon 11. Avaa Process Explorer ja etsi conhost.exe. Sen lisäksi, että se näyttää sinulle, että se on laillinen, sen pitäisi myös näyttää sinulle, minkä ohjelman kanssa se toimii. Kuvassa voit nähdä, että Windows 10 -koneeni toimii Nvidia Web Helper -prosessin kanssa. Tämä on lainmukainen esimerkki conhost.exe-tiedostosta.
Voit toistaa tämän prosessin jokaiselle Windows-prosessille, jonka haluat tarkistaa. Jokaisella prosessilla tulisi olla sijainti C: \ Windows \ System32. Jos ei, suorita virustentorjunta- ja haittaohjelmaskannerisi joka tapauksessa. Taustaprosesseissa sijainnin tulee olla sama kuin prosessin asennettu hakemisto.
Toivon, että se vastasi asianmukaisesti kysymykseen. Kyllä, conhost.exe on laillinen ja kyllä, se on turvallinen niin kauan kuin sen sijainti on osoitteessa C: \ Windows \ System32.
Onko sinulla muita Windows-prosesseja, joista haluat tietää enemmän? Kerro meille heistä alla, jos teet, ja yritän vastata niin moniin kuin voin!
