En TechJunkie-leser tok kontakt med meg i går og spurte om en bestemt Windows-tjeneste som han la merke til på maskinen sin. Det var 'conhost.exe', og leseren lurte på hva det var, hva det gjorde og om det var trygt å kjøre på PC-en hans eller ikke.
Gitt alle nyhetene om datasikkerhet, er det naturlig at folk er bekymret for tjenester de ikke kjenner igjen. Jeg vil alltid foreslå å finne ut hva en tjeneste eller et program er, og hva det gjør hvis du ikke umiddelbart gjenkjenner det. Selv de sikreste systemene kan fortsatt være utsatt for skadelig programvare. Så det er virkelig bedre å være trygg enn å beklage!
Jeg er alltid glad for å svare på Windows-relaterte spørsmål der jeg kan, så her er alt jeg vet om conhost.exe.
Conhost.exe i Windows
Conhost.exe vises som Console Windows Host på Windows 10-datamaskiner. Åpne Oppgavebehandling (høyreklikk på oppgavelinjen i Windows og velg den), bla deretter ned til Windows-prosesser, og det skal være ett eller flere forekomster av det kjører. Det kan hende du ser flere tilfeller, kanskje ikke.
Flere forekomster av Conhost.exe er fine hvis du har flere programmer åpne, men hvis du nettopp har startet datamaskinen fra en avstengt tilstand, betyr det at du har noen få programmer som kjører i bakgrunnen som du ikke trenger.
Hva gjør Conhost.exe?
Conhost.exe er en evolusjon av crss.exe som kjørte på eldre versjoner av Windows som XP. Crss.exe var et mellommann API som tillot GUI-applikasjoner å samhandle med ikke-Gui-applikasjoner som kommandolinjen. Hvis du for eksempel hadde en tekstfil som inneholder en batch-kommando, kan du dra den tekstfilen til CMD og kommandolinjen kunne utføre batch-filen. Programmer som brukte en GUI vil også bruke crss.exe. å samhandle med konsollen bak kulissene.
Crss.exe tillot konsollen å utføre dra og slipp i en tradisjonelt ikke-dra og slipp-konsoll. Imidlertid brukte crss.exe Local System-kontoen til å fungere som har mange privilegier over en datamaskin. Crss.exe tillot teoretisk utnyttelser å samhandle mellom begrensede brukerkontoer der GUI-programmene fungerte og Local System-kontoen der konsollapplikasjonene fungerte. Dette ga noe av en bro for malware for å få ubegrenset tilgang til datamaskinen din.
Crss.exe ble erstattet med conhost.exe i Windows 7 og er fremdeles til stede i Windows 10. Det gjør fortsatt det samme som crss.exe, men uten å gi tilgang til lokale systemkontoer eller forhøyede rettigheter.
Microsoft Technet-nettstedet har en nyttig side på crss.exe og conhost.exe.
Noen tech nettsteder snakker om conhost.exe om seg selv med estetikk og tema, men jeg tror ikke dette er sant. Technet-siden forklarer at conhost.exe ble introdusert for å hjelpe med å sikre Windows-kjernen ved å bryte den broen mellom brukerkontoer og lokale maskinkontoer. Den nevner ingenting om hvordan konsollen ser ut.
Min egen erfaring med Windows Server fra forskjellige generasjoner støtter dette. Siden Server 2003 gjorde Microsoft mye for å skille kjernen av OS fra brukerkontoer for å gjøre det sikrere. Det ble ikke tenkt mye på hvordan det så ut. Det handlet om hvordan det fungerte.
Er conhost.exe trygt?
Som du sannsynligvis allerede vet, kan noe skadelig program etterligne egenskapene til legitime Windows-prosesser eller -programmer. Så mens det på overflaten kan virke åpenbart at conhost.exe er trygt, er det alltid en god idé å sjekke. Dette er hvordan.
- Høyreklikk Windows oppgavelinje og velg Oppgavebehandling.
- Bla ned til Windows-prosesser og finn Console Windows Host.
- Høyreklikk og velg Egenskaper.
Under Plassering skal du se C: \ Windows \ System32. Alle forekomster av conhost.exe skal kjøres fra System32, så hvis du ser dette, er det trygt. Hvis filstedet er noe annerledes, er det sannsynligvis ikke legitimt.
En måte å sjekke er å bruke Process Explorer. Dette er et program som tar Task Manager og slår det opp til 11. Åpne Process Explorer og finn conhost.exe. I tillegg til å vise deg at det er legitimt, bør det også vise deg hvilket program det samhandler med. På bildet kan du se den på Windows 10-maskinen min som jobber med Nvidia Web Helper-prosessen. Dette er en legitim forekomst av conhost.exe.
Du kan gjenta denne prosessen for alle Windows-prosesser du vil sjekke ut. Hver prosess skal ha sin plassering på C: \ Windows \ System32. Hvis ikke, kan du kjøre antivirus- og malware-skanneren bare i tilfelle. For bakgrunnsprosesser skal plasseringen samsvare med den installerte katalogen til prosessen.
Jeg håper at besvarte spørsmålet tilstrekkelig. Ja, conhost.exe er legitim og ja, det er trygt så lenge den har sin beliggenhet på C: \ Windows \ System32.
Har du noen andre Windows-prosesser du vil vite mer om? Fortell oss om dem nedenfor hvis du gjør det, og jeg skal prøve å svare så mange jeg kan!
