Čtečka TechJunkie mě včera kontaktovala s dotazem na konkrétní službu Windows, kterou si všiml na svém počítači. Byl to 'conhost.exe' a čtenář přemýšlel, co to je, co dělal a zda bylo bezpečné běžet na jeho PC nebo ne.
Vzhledem ke všem zprávám o počítačové bezpečnosti je přirozené, že se lidé obávají o služby, které neuznávají. Vždy bych doporučil zjistit, co je služba nebo program a co dělá, pokud to hned nepoznáte. I ty nejbezpečnější systémy mohou být stále náchylné k malwaru. Takže je opravdu lepší být v bezpečí než líto!
Vždy jsem rád, že mohu odpovědět na otázky související s Windows, kdekoli to půjde, takže zde je vše, co vím o conhost.exe.
Conhost.exe ve Windows
Conhost.exe se v počítačích se systémem Windows 10 zobrazí jako konzola Windows Host. Otevřete Správce úloh (klepněte pravým tlačítkem myši na hlavním panelu Windows a vyberte jej), potom přejděte dolů k procesům Windows a měla by být spuštěna jedna nebo více instancí. Můžete vidět více případů, nemusíte.
Více instancí programu Conhost.exe je v pořádku, pokud máte otevřených více programů, ale pokud jste právě spustili počítač ze stavu bez napájení, znamená to, že máte na pozadí spuštěno několik programů, které nepotřebujete.
Co dělá Conhost.exe?
Conhost.exe je vývoj crss.exe, který běžel na starších verzích Windows, jako je XP. Crss.exe byl prostředník API, který umožnil aplikacím GUI komunikovat s aplikacemi jiných výrobců, jako je příkazový řádek. Pokud jste například měli textový soubor obsahující dávkový příkaz, můžete tento textový soubor přetáhnout do CMD a příkazový řádek může spustit dávkový soubor. Programy, které používaly GUI, by také používaly crss.exe. komunikovat s konzolou v zákulisí.
Crss.exe dovolil konzole provádět drag and drop v tradičně non-drag and drop konzole. Crss.exe však použil účet Local System k práci, která má nad počítačem mnoho oprávnění. Crss.exe teoreticky povolil zneužívá interakce mezi omezenými uživatelskými účty, kde programy GUI pracovaly, a účtem Local System, kde fungovaly aplikace konzoly. To poskytlo malware něco, co by umožnilo získat neomezený přístup k vašemu počítači.
Crss.exe byl v systému Windows 7 nahrazen souborem conhost.exe a je stále přítomen v systému Windows 10. Stále dělá to samé jako crss.exe, ale bez udělení přístupu k účtům místního systému nebo k jakýmkoli zvýšeným oprávněním.
Web Microsoft Technet má užitečnou stránku na crss.exe a conhost.exe.
Některé webové stránky hovoří o conhost.exe týkajícím se sebe sama o sobě s estetikou a tématikou, ale nevěřím, že je to pravda. Stránka Technet vysvětluje, že byl zaveden soubor conhost.exe, který má pomoci zabezpečit jádro systému Windows přerušením tohoto mostu mezi účty uživatelských účtů a účtů místního počítače. Nezmiňuje se nic o tom, jak se konzola objeví.
Moje vlastní zkušenost se systémem Windows Server různých generací to podporuje. Od serveru 2003 společnost Microsoft odvedla spoustu práce, aby oddělila základní OS od uživatelských účtů, aby byla bezpečnější. Na to, jak to vypadalo, nebylo příliš přemýšleno. Bylo to všechno o tom, jak to fungovalo.
Je conhost.exe bezpečný?
Jak již pravděpodobně víte, nějaký malware může napodobovat vlastnosti legitimních procesů nebo programů systému Windows. Takže zatímco na povrchu se může zdát zřejmé, že conhost.exe je bezpečný, vždy je dobré zkontrolovat. Zde je návod.
- Klepněte pravým tlačítkem myši na panel úloh systému Windows a vyberte položku Správce úloh.
- Přejděte dolů k procesům Windows a vyhledejte konzolu Windows Host.
- Klikněte pravým tlačítkem a vyberte Vlastnosti.
V části Umístění byste měli vidět C: \ Windows \ System32. Všechny instance conhost.exe by měly běžet ze System32, takže pokud to vidíte, je to bezpečné. Pokud je umístění souboru něco jiného, pravděpodobně nebude legitimní.
Jeden způsob, jak zkontrolovat, je použít Process Explorer. Toto je program, který přebírá Správce úloh a mění jej na 11. Otevřete Průzkumníka procesů a najděte conhost.exe. Kromě toho, že vám ukážeme, že je legitimní, by vám měla také ukázat, s jakým programem interaguje. Na obrázku vidíte, že ten na mém počítači se systémem Windows 10 pracuje s procesem Nvidia Web Helper. Toto je legitimní instance conhost.exe.
Tento proces můžete zopakovat pro jakýkoli proces Windows, který chcete zkontrolovat. Každý proces by měl mít své umístění na C: \ Windows \ System32. Pokud tomu tak není, spusťte antivirový a malware skener jen pro případ. U procesů na pozadí by se umístění mělo shodovat s nainstalovaným adresářem procesu.
Doufám, že to adekvátně odpovědělo na otázku. Ano, conhost.exe je legitimní a ano, pokud je jeho umístění na C: \ Windows \ System32, je bezpečné.
Máte nějaké další procesy Windows, o kterých byste chtěli vědět víc? Řekněte nám o nich níže, pokud tak učiníte, a já se pokusím odpovědět co nejvíce, jak jen dokážu!
