Conhost.exe là gì và tại sao nó chạy?

Video: Conhost.exe là gì và tại sao nó chạy?

Video: 5 BÍ KÍP CHỤP ẢNH TRÊN IPHONE 8 PLUS: ĐẸP NHƯ MÁY CƠ ! - YouTube 2024, Tháng mười một

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2023-12-17 11:02

Bạn không nghi ngờ gì khi đọc bài viết này vì bạn đã tình cờ gặp phải quá trình điều khiển máy chủ Window Console (conhost.exe) trong Trình quản lý tác vụ và tự hỏi nó là gì. Chúng tôi đã có câu trả lời cho bạn.

Bài viết này là một phần của loạt bài liên tục của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe và nhiều quy trình khác. Bạn không biết những dịch vụ đó là gì? Bắt đầu đọc tốt hơn!

Vậy quy trình lưu trữ trên bàn điều khiển là gì?

Việc hiểu quy trình Máy chủ Cửa sổ Bàn điều khiển yêu cầu một chút lịch sử. Trong Windows XP ngày, Command Prompt đã được xử lý bởi một tiến trình có tên là ClientServer Runtime System Service (CSRSS). Như tên của nó, CSRSS là một dịch vụ mức hệ thống. Điều này tạo ra một vài vấn đề. Thứ nhất, một sự cố trong CSRSS có thể làm giảm toàn bộ hệ thống, điều này không chỉ tiếp xúc với các vấn đề về độ tin cậy mà còn có thể gây ra các lỗ hổng bảo mật. Vấn đề thứ hai là CSRSS không thể theo chủ đề, bởi vì các nhà phát triển không muốn mạo hiểm mã chủ đề để chạy trong một tiến trình hệ thống. Vì vậy, Command Prompt luôn có giao diện cổ điển hơn là sử dụng các phần tử giao diện mới.

Lưu ý trong ảnh chụp màn hình của Windows XP bên dưới rằng Command Prompt không có cùng kiểu dáng như một ứng dụng như Notepad.

Windows Vista đã giới thiệu Trình quản lý cửa sổ máy tính để bàn - một dịch vụ "thu hút" các khung nhìn tổng hợp của các cửa sổ lên màn hình nền của bạn thay vì để cho mỗi ứng dụng riêng lẻ xử lý riêng nó. Command Prompt đã nhận được một số kiến thức bề ngoài từ này (giống như khung thủy tinh hiện diện trong các cửa sổ khác), nhưng nó có chi phí để có thể kéo và thả các tập tin, văn bản, vv vào cửa sổ nhắc lệnh.

Tuy nhiên, rằng theming chỉ đi xa cho đến nay. Nếu bạn xem giao diện điều khiển trong Windows Vista, có vẻ như nó sử dụng cùng một chủ đề với mọi thứ khác, nhưng bạn sẽ nhận thấy thanh cuộn vẫn đang sử dụng kiểu cũ. Điều này là do Desktop Window Manager xử lý các thanh tiêu đề và khung, nhưng một cửa sổ CSRSS kiểu cũ vẫn nằm bên trong.

Nhập Windows 7 và quy trình Máy chủ cửa sổ điều khiển. Như tên của nó, nó là một quá trình lưu trữ cho cửa sổ giao diện điều khiển. Loại quá trình nằm giữa CSRSS và Command Prompt (cmd.exe), cho phép Windows khắc phục cả hai vấn đề trước - các phần tử giao diện như thanh cuộn vẽ chính xác và bạn có thể kéo và thả vào Dấu nhắc Lệnh. Và đó là phương pháp vẫn được sử dụng trong Windows 8 và 10, cho phép tất cả các phần tử giao diện mới và kiểu dáng đã xuất hiện từ Windows 7.

Mặc dù Trình quản lý tác vụ trình bày Trình quản lý cửa sổ điều khiển dưới dạng một thực thể riêng biệt nhưng nó vẫn được liên kết chặt chẽ với CSRSS. Nếu bạn kiểm tra quá trình conhost.exe trong Process Explorer, bạn có thể thấy rằng nó thực sự chạy dưới quá trình csrss.ese.

Cuối cùng, Console Window Host là một cái gì đó giống như một trình bao duy trì sức mạnh của việc chạy một dịch vụ cấp hệ thống như CSRSS, trong khi vẫn an toàn và đáng tin cậy cấp khả năng tích hợp các phần tử giao diện hiện đại.

Tại sao có một số trường hợp của quá trình chạy?

Bạn sẽ thường thấy một số trường hợp của quá trình Máy chủ cửa sổ điều khiển đang chạy trong Trình quản lý tác vụ. Mỗi trường hợp chạy Command Prompt sẽ sinh ra quá trình Console Window Host của riêng nó. Ngoài ra, các ứng dụng khác sử dụng dòng lệnh sẽ sinh ra quy trình Máy chủ Windows của riêng chúng - ngay cả khi bạn không thấy cửa sổ hoạt động cho chúng. Một ví dụ điển hình là ứng dụng Plex Media Server, chạy dưới dạng ứng dụng nền và sử dụng dòng lệnh để tự cung cấp cho các thiết bị khác trên mạng của bạn.

Nhiều ứng dụng nền hoạt động theo cách này, do đó, không có gì lạ khi thấy nhiều phiên bản của quá trình Máy chủ cửa sổ điều khiển đang chạy tại bất kỳ thời điểm nào. Đây là hành vi bình thường. Đối với hầu hết các phần, mỗi quá trình nên mất rất ít bộ nhớ (thường dưới 10 MB) và gần như bằng không trừ khi quá trình này đang hoạt động.

Điều đó nói rằng, nếu bạn nhận thấy rằng một trường hợp cụ thể của Console Window Host - hoặc một dịch vụ liên quan - gây ra sự cố, như việc sử dụng CPU hoặc RAM quá mức liên tục, bạn có thể kiểm tra các ứng dụng cụ thể có liên quan. Điều đó có thể ít nhất là cung cấp cho bạn một ý tưởng về nơi để bắt đầu xử lý sự cố. Rất tiếc, chính Trình quản lý tác vụ không cung cấp thông tin tốt về điều này. Tin tốt là Microsoft cung cấp một công cụ tiên tiến tuyệt vời để làm việc với các quy trình như là một phần của dòng sản phẩm Sysinternals của nó. Chỉ cần tải xuống Process Explorer và chạy nó - đó là một ứng dụng di động, vì vậy không cần phải cài đặt nó. Process Explorer cung cấp tất cả các loại tính năng nâng cao - và chúng tôi đặc biệt khuyên bạn nên đọc hướng dẫn của chúng tôi để hiểu về Process Explorer để tìm hiểu thêm.

Cách dễ nhất để theo dõi các quy trình này trong Process Explorer là lần đầu tiên nhấn Ctrl + F để bắt đầu tìm kiếm. Tìm kiếm "conhost" và sau đó nhấp qua kết quả. Như bạn đã làm, bạn sẽ thấy thay đổi cửa sổ chính để hiển thị cho bạn ứng dụng (hoặc dịch vụ) được liên kết với cá thể cụ thể đó của Máy chủ cửa sổ điều khiển.

Nếu việc sử dụng CPU hoặc RAM chỉ ra rằng đây là trường hợp gây ra rắc rối cho bạn, thì ít nhất bạn đã thu hẹp nó xuống một ứng dụng cụ thể.

Quá trình này có thể là một loại virus không?

Bản thân quá trình này là một thành phần chính thức của Windows. Mặc dù có thể vi-rút đã thay thế Máy chủ cửa sổ Bảng điều khiển thực bằng một tệp thực thi của riêng nó, điều này là không thể.Nếu bạn muốn chắc chắn, bạn có thể kiểm tra vị trí tệp cơ bản của quy trình. Trong Trình quản lý tác vụ, nhấp chuột phải vào bất kỳ quy trình Lưu trữ dịch vụ nào và chọn tùy chọn “Vị trí tệp mở”.


WindowsSystem32

thư mục, sau đó bạn có thể khá chắc chắn bạn không phải đối phó với một virus.

Trên thực tế, có một trojan có tên Conhost Miner giả mạo làm Process Console Host. Trong Trình quản lý tác vụ, nó xuất hiện giống như quy trình thực, nhưng một chút đào sẽ tiết lộ rằng nó thực sự được lưu trữ trong


%userprofile%AppDataRoamingMicrosoft

thư mục thay vì


WindowsSystem32

thư mục. Trojan thực sự được sử dụng để cướp máy tính của bạn để khai thác Bitcoin, vì vậy hành vi khác bạn sẽ nhận thấy nếu nó được cài đặt trên hệ thống của bạn là việc sử dụng bộ nhớ cao hơn bạn mong đợi và việc sử dụng CPU duy trì ở mức rất cao (thường là ở trên) 80%).

Tất nhiên, bằng cách sử dụng một máy quét virus tốt là cách tốt nhất để ngăn chặn (và loại bỏ) phần mềm độc hại như Conhost Miner, và đó là một cái gì đó bạn nên làm anyway. Cẩn tắc vô ưu!

Đề xuất:

Mobsync.exe là gì và tại sao nó chạy?

Bạn có thể tự hỏi những gì quá trình mobsyc.exe đang chạy trong Task Manager hoặc lý do tại sao có một biểu tượng màu xanh lá cây và màu vàng trong khu vực thông báo. Ở đây chúng ta sẽ xem xét nó là gì, và làm thế nào để vô hiệu hóa nó nếu bạn không sử dụng tính năng này.