什么是conhost.exe和为什么运行?

你无疑会阅读这篇文章,因为你在任务管理器中偶然遇到了控制台窗口主机(conhost.exe)进程,并且想知道它是什么。 我们已经得到了你的答案。

本文是我们正在进行的系列的一部分,解释了任务管理器中发现的各种进程,如svchost.exedwm.exectfmon.exemDNSResponder.exerundll32.exeAdobe_Updater.exe 不知道这些服务是什么? 更好的开始阅读!

那么什么是控制台窗口主机进程?

了解控制台窗口主机进程需要一些历史记录。 在Windows XP天,命令提示符由名为ClientServer运行时系统服务(CSRSS)的进程处理。 顾名思义,CSRSS是一个系统级服务。 这造成了一些问题。 首先,CSRSS的崩溃可能会降低整个系统,这不仅暴露了可靠性问题,还暴露了可能的安全漏洞。 第二个问题是CSRSS不能主题,因为开发人员不希望风险主题代码在系统进程中运行。 因此,命令提示符始终具有经典外观,而不是使用新的界面元素。

请注意在Windows XP的屏幕截图下,命令提示符不像应用程序像记事本那样得到相同的样式。

image

Windows Vista引入了桌面窗口管理器 - 一个服务,它将“ 窗口 ”复合视图窗口拖放到桌面上,而不是让每个单独的应用程序自己处理。 命令提示符从此获得了一些表面的主题(像其他窗口中的玻璃框架),但是以牺牲可以将文件,文本等拖放到命令提示符窗口中为代价。

不过,这个主题只是到目前为止。 如果您在Windows Vista中看到控制台,它看起来像使用与其他所有主题相同的主题,但您会注意到,滚动条仍然使用旧样式。 这是因为桌面窗口管理器处理绘制标题栏和框架,但是一个老式的CSRSS窗口仍然位于里面。

图片

进入Windows 7和控制台窗口主机进程。 顾名思义,它是控制台窗口的主机进程。 CSRSS和命令提示符(cmd.exe)之间的中间位置的过程类型,允许Windows修复以前的两个问题 - 滚动条绘制的界面元素正确绘制,您可以再次拖放到命令提示符。 这就是Windows 8和10中仍然使用的方法,允许Windows 7之后所有新的界面元素和样式。

即使任务管理器将控制台窗口主机显示为单独的实体,它仍然与CSRSS密切相关。 如果您在Process Explorer中检查conhost.exe进程,可以看到它实际上是在csrss.ese进程下运行的。

最后,控制台窗口主机就像一个shell,它保持运行像CSRSS这样的系统级服务的能力,同时仍然安全可靠地授予集成现代界面元素的能力。

为什么有几个进程的实例运行?

您经常会看到控制台窗口主机进程的几个实例在任务管理器中运行。 命令提示符运行的每个实例将产生自己的控制台窗口主机进程。 此外,使用命令行的其他应用程序将会产生自己的控制台Windows主机进程 - 即使您没有看到它们的活动窗口。 一个很好的例子是Plex Media Server应用程序,它作为后台应用程序运行,并使用命令行将其自身提供给网络上的其他设备。

许多后台应用程序可以这样工作,因此在任何给定时间看到控制台窗口主机进程的多个实例并不罕见。 这是正常的行为。 在大多数情况下,每个进程都应占用很少的内存(通常在10 MB以内),而且CPU几乎为零,除非进程处于活动状态。

也就是说,如果您发现控制台窗口主机的特定实例或相关服务引起麻烦,例如连续使用CPU或RAM,可以检查涉及的特定应用程序。 这可能至少让您了解在哪里开始故障排除。 不幸的是,任务管理器本身不提供有关这方面的良好信息。 好消息是,微软为Sysinternals阵容的一部分提供了一个优秀的进程工具。 只需下载Process Explorer并运行它 - 它是一个便携式应用程序 ,因此无需安装它。 Process Explorer提供各种高级功能 - 我们强烈建议您阅读我们的指南,了解Process Explorer以了解更多信息。

在Process Explorer中跟踪这些进程的最简单的方法是首先按Ctrl + F开始搜索。 搜索“conhost”,然后点击结果。 如您所做,您将看到主窗口更改,以显示与控制台窗口主机的特定实例相关联的应用程序(或服务)。

如果CPU或RAM使用情况表明这是导致您出现问题的实例,那么至少您已将其缩小到特定的应用程序。

这个过程可能是病毒吗?

该进程本身是一个官方的Windows组件。 虽然可能病毒已经用自己的可执行文件替换了真正的“控制台窗口主机”,但这不太可能。 如果您想确定,您可以查看进程的底层文件位置。 在任务管理器中,右键单击任何服务主机进程,然后选择“选项文件位置”选项。

如果文件存储在Windows\System32文件夹中,那么您可以确定您没有处理病毒。

实际上,有一个名为Conhost Miner的木马,伪装成控制台窗口主机进程。 在任务管理器中,它看起来就像真正的进程,但是一点挖掘将会显示它实际上存储在%userprofile%\AppData\Roaming\Microsoft文件夹中,而不是Windows\System32文件夹中。 该木马实际上是用来劫持你的PC来挖掘比特币,所以你会注意到,如果你的系统上安装的其他行为是内存使用率高于你可能期望的CPU使用率保持在非常高的水平(通常高于80%)。

当然,使用好的病毒扫描程序是防止( 和删除 )恶意软件(如Conhost Miner)的最佳方式,而且这是你应该做的事情。 更安全比对不起!

什么是conhost.exe和为什么它在我的电脑上运行?

你毫无疑问阅读这篇文章是因为你在“任务管理器”中偶然发现了控制台窗口主机(conhost.exe)进程,并想知道它是什么。 我们已经为你解答了。

本文是我们正在进行的一系列解释任务管理器中找到的各种进程的一部分,如svchost.exedwm.exectfmon.exemDNSResponder.exerundll32.exeAdobe_Updater.exe 等等 不知道这些服务是什么? 更好地开始阅读!

那么什么是控制台窗口主机进程?

了解控制台窗口主机进程需要一点点的历史。 在Windows XP中,命令提示符由名为ClientServer运行时系统服务(CSRSS)的进程处理。 顾名思义,CSRSS是一个系统级的服务。 这造成了一些问题。 首先,CSRSS的崩溃可能会导致整个系统崩溃,这不仅暴露了可靠性问题,而且还暴露了可能的安全漏洞。 第二个问题是,CSRSS不可能是主题,因为开发者不想让主题代码在系统进程中运行。 所以,命令提示符总是具有经典的外观,而不是使用新的界面元素。

请注意,在下面的Windows XP的屏幕截图中,命令提示符不像记事本这样的应用程序具有相同的样式。

image

Windows Vista引入了“ 桌面窗口管理器” - 一种将Windows的复合视图“绘制”到桌面上的服务,而不是让每个应用程序自行处理。 命令提示符从这个方面获得了一些肤浅的主题(比如其他窗口中存在的玻璃框),但是它的代价是能够将文件,文本等拖放到命令提示符窗口中。

尽管如此,主题仍然是如此。 如果你看看Windows Vista中的控制台,看起来它和其他所有的东西都使用相同的主题,但是你会注意到滚动条仍然使用旧的风格。 这是因为桌面窗口管理器处理绘制标题栏和框架,但一个老式的CSRSS窗口仍然在里面。

图片

输入Windows 7和控制台窗口主机进程。 顾名思义,它是控制台窗口的主机进程。 进程类型位于CSRSS和命令提示符(cmd.exe)的中间,允许Windows修复以前的两个问题 - 滚动条等界面元素可以正确绘制,并且可以再次拖放到命令提示符中。 这就是在Windows 8和Windows 10中仍然使用的方法,允许从Windows 7以来所有新的界面元素和样式。

即使任务管理器将控制台窗口主机显示为单独的实体,但它仍与CSRSS密切相关。 如果您在Process Explorer中检查了conhost.exe进程,则可以看到它实际上在csrss.ese进程下运行。

最后,控制台窗口主机就像一个外壳,它保持了运行像CSRSS这样的系统级服务的能力,同时仍然安全可靠地授予集成现代界面元素的能力。

为什么有几个进程正在运行的实例?

您经常会看到在任务管理器中运行的控制台窗口主机进程的几个实例。 运行命令提示符的每个实例都会产生自己的控制台窗口主机进程。 另外,使用命令行的其他应用程序将产生自己的控制台Windows主机进程 - 即使您没有看到它们的活动窗口。 Plex Media Server应用程序就是一个很好的例子,该应用程序作为后台应用程序运行,并使用命令行将其自身提供给网络上的其他设备。

许多后台应用程序以这种方式工作,所以在任何给定的时间看到Console Window Host进程的多个实例运行并不罕见。 这是正常的行为。 大多数情况下,除非进程处于活动状态,否则每个进程应占用很少的内存(通常在10 MB以下),几乎为零。

也就是说,如果你注意到一个特定的控制台窗口主机实例或者一个相关的服务正在造成麻烦,比如持续的CPU或者RAM的过度使用,你可以检查一下特定的应用程序。 这至少可以让你知道从哪里开始排除故障。 不幸的是,任务管理器本身并没有提供这方面的好消息。 好消息是,微软提供了一个优秀的先进工具,作为Sysinternals阵容的一部分,用于处理进程。 只需下载Process Explorer并运行它 - 这是一个便携式应用程序 ,所以不需要安装它。 Process Explorer提供了各种高级功能 - 我们强烈建议阅读我们的指南以了解更多的了解Process Explorer

在Process Explorer中跟踪这些进程的最简单方法是先按Ctrl + F开始搜索。 搜索“conhost”,然后单击结果。 和你一样,你会看到主窗口改变,向你展示与控制台窗口主机的特定实例关联的应用程序(或服务)。

如果CPU或RAM的使用情况表明这是导致你麻烦的实例,那么至少你已经把它缩小到一个特定的应用程序。

这个过程可能是病毒么?

该进程本身是一个正式的Windows组件。 虽然有可能病毒已经用自己的可执行文件取代了真正的控制台窗口主机,但这不太可能。 如果您想确定,可以查看该进程的基础文件位置。 在任务管理器中,右键单击任何服务主机进程并选择“打开文件位置”选项。

如果该文件存储在Windows\System32文件夹中,则可以确定您没有处理病毒。

事实上,那里有一个名为Conhost Miner的木马,它伪装成控制台窗口主机进程。 在任务管理器,它看起来就像真实的过程,但是一点挖掘将显示它实际上存储在%userprofile%\AppData\Roaming\Microsoft文件夹,而不是Windows\System32文件夹。 特洛伊木马实际上是用来劫持你的个人电脑来盗取比特币的,所以如果你的系统上安装了其他的行为,那么你的内存使用率会高于你的预期,并且CPU使用率会保持在非常高的水平80%)。

当然,使用一个好的病毒扫描程序是预防( 和删除 )Conhost Miner等恶意软件的最好方法,而且这也是你应该做的事情。 比对不起更安全!

赞 (0)
分享到:更多 ()