โฮมเพจ » ทำอย่างไร » conhost.exe คืออะไรและทำไมมันทำงาน

    conhost.exe คืออะไรและทำไมมันทำงาน

    คุณไม่ต้องสงสัยเลยว่าคุณกำลังอ่านบทความนี้เพราะคุณได้พบเจอกระบวนการคอนโซลหน้าต่างโฮสต์ (conhost.exe) ในตัวจัดการงานและสงสัยว่ามันคืออะไร เรามีคำตอบให้คุณ.

    บทความนี้เป็นส่วนหนึ่งของชุดข้อมูลอย่างต่อเนื่องของเราที่อธิบายถึงกระบวนการต่าง ๆ ที่พบในตัวจัดการงานเช่น svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe และอื่น ๆ อีกมากมาย ไม่ทราบว่าบริการเหล่านั้นคืออะไร? เริ่มอ่านได้ดีขึ้น!

    ดังนั้นกระบวนการโฮสต์หน้าต่างของคอนโซลคืออะไร?

    การทำความเข้าใจกับกระบวนการ Console Window Host นั้นต้องใช้ประวัติมาก่อน ใน Windows XP วัน Command Prompt ถูกจัดการโดยกระบวนการที่ชื่อว่า ClientServer Runtime System Service (CSRSS) เป็นชื่อที่แสดงถึง CSRSS เป็นบริการระดับระบบ สิ่งนี้สร้างปัญหาสองสามข้อ ข้อแรกความผิดพลาดใน CSRSS อาจทำให้ทั้งระบบล่มซึ่งไม่เพียง แต่เปิดเผยปัญหาด้านความน่าเชื่อถือเท่านั้น แต่ยังมีช่องโหว่ด้านความปลอดภัยอีกด้วย ปัญหาที่สองคือ CSRSS ไม่สามารถจัดแนวได้เนื่องจากนักพัฒนาไม่ต้องการเสี่ยงรหัสชุดรูปแบบเพื่อให้ทำงานในกระบวนการของระบบ ดังนั้นพรอมต์คำสั่งจะมีรูปลักษณ์ที่คลาสสิกเสมอแทนที่จะใช้องค์ประกอบอินเทอร์เฟซใหม่.

    โปรดสังเกตในภาพหน้าจอของ Windows XP ด้านล่างว่าพร้อมรับคำสั่งไม่ได้มีสไตล์เหมือนกับแอพอย่าง Notepad.

    Windows Vista เปิดตัว Desktop Window Manager- บริการที่ "ดึง" มุมมองแบบรวมของ Windows ลงบนเดสก์ท็อปของคุณแทนที่จะปล่อยให้แอปแต่ละตัวจัดการกับมันด้วยตัวเอง พรอมต์คำสั่งได้รับชุดรูปแบบผิวเผินบางส่วนจากนี้ (เช่นกรอบ glassy ที่มีอยู่ในหน้าต่างอื่น ๆ ) แต่มันมาด้วยค่าใช้จ่ายของความสามารถในการลากและวางไฟล์ข้อความและอื่น ๆ ในหน้าต่างพร้อมรับคำสั่ง.

    แต่ถึงกระนั้นการจัดแสดงก็ยังไปได้ไกล หากคุณดูที่คอนโซลใน Windows Vista ดูเหมือนว่ามันจะใช้ชุดรูปแบบเหมือนกับทุกสิ่งทุกอย่าง แต่คุณจะสังเกตเห็นว่าแถบเลื่อนยังคงใช้รูปแบบเดิมอยู่ นี่เป็นเพราะ Desktop Window Manager จัดการการวาดแถบชื่อเรื่องและกรอบ แต่หน้าต่าง CSRSS ที่ล้าสมัยยังคงอยู่ภายใน.

    เข้าสู่ Windows 7 และกระบวนการ Console Window Host เป็นชื่อที่แสดงถึงกระบวนการโฮสต์สำหรับหน้าต่างคอนโซล กระบวนการเรียงลำดับอยู่ตรงกลางระหว่าง CSRSS และ Command Prompt (cmd.exe) ทำให้ Windows สามารถแก้ไของค์ประกอบอินเทอร์เฟซประเด็นปัญหาก่อนหน้าเช่น scrollbars วาดอย่างถูกต้องและคุณสามารถลากและวางลงใน Command Prompt ได้อีกครั้ง และนั่นเป็นวิธีที่ยังคงใช้ใน Windows 8 และ 10 เพื่อให้องค์ประกอบอินเทอร์เฟซใหม่และการออกแบบที่มีมาตั้งแต่ Windows 7.

    แม้ว่าตัวจัดการงานจะแสดงคอนโซลหน้าต่างโฮสต์เป็นเอนทิตีแยกต่างหาก แต่ก็ยังคงเกี่ยวข้องกับ CSRSS อย่างใกล้ชิด หากคุณตรวจสอบกระบวนการ conhost.exe ใน Process Explorer คุณจะเห็นว่ามันทำงานได้จริงภายใต้กระบวนการ csrss.ese.

    ในท้ายที่สุด Console Window Host เป็นเหมือนเชลล์ที่รักษาพลังของการเรียกใช้บริการระดับระบบเช่น CSRSS ในขณะที่ยังคงปลอดภัยและเชื่อถือได้ให้ความสามารถในการรวมองค์ประกอบอินเตอร์เฟซที่ทันสมัย.

    เหตุใดจึงมีหลายอินสแตนซ์ของกระบวนการทำงาน?

    คุณมักจะเห็นหลาย ๆ กระบวนการของ Console Window Host ที่ทำงานใน Task Manager แต่ละอินสแตนซ์ของการเรียกใช้พร้อมรับคำสั่งจะวางไข่กระบวนการโฮสต์หน้าต่างของคอนโซล นอกจากนี้แอปอื่น ๆ ที่ใช้ประโยชน์จากบรรทัดคำสั่งจะวางไข่กระบวนการโฮสต์ Windows Console ของตัวเองแม้ว่าคุณจะไม่เห็นหน้าต่างที่ใช้งานอยู่ก็ตาม ตัวอย่างที่ดีของสิ่งนี้คือแอพ Plex Media Server ซึ่งทำงานเป็นแอปพื้นหลังและใช้บรรทัดคำสั่งเพื่อให้สามารถใช้งานได้กับอุปกรณ์อื่น ๆ ในเครือข่ายของคุณ.

    แอปพื้นหลังจำนวนมากทำงานในลักษณะนี้ดังนั้นจึงไม่ใช่เรื่องแปลกที่จะเห็นกระบวนการอินสแตนซ์โฮสต์ของหน้าต่างคอนโซลที่ทำงานในเวลาใดก็ตาม นี่เป็นพฤติกรรมปกติ ส่วนใหญ่แต่ละกระบวนการควรใช้หน่วยความจำน้อยมาก (โดยปกติจะต่ำกว่า 10 MB) และเกือบเป็นศูนย์ CPU เว้นแต่ว่ากระบวนการนั้นจะทำงาน.

    ที่กล่าวว่าหากคุณสังเกตเห็นว่าอินสแตนซ์เฉพาะของ Console Window Host หรือบริการที่เกี่ยวข้องนั้นเป็นสาเหตุของปัญหาเช่นการใช้งาน CPU หรือ RAM มากเกินไปอย่างต่อเนื่องคุณสามารถตรวจสอบแอพเฉพาะที่เกี่ยวข้อง อย่างน้อยนั่นอาจทำให้คุณทราบว่าจะเริ่มแก้ไขปัญหาได้อย่างไร น่าเสียดายที่ตัวจัดการงานเองไม่ได้ให้ข้อมูลที่ดีเกี่ยวกับเรื่องนี้ ข่าวดีก็คือว่า Microsoft มอบเครื่องมือขั้นสูงที่ยอดเยี่ยมสำหรับการทำงานกับกระบวนการต่างๆซึ่งเป็นส่วนหนึ่งของรายการ Sysinternals เพียงดาวน์โหลด Process Explorer และเรียกใช้มันเป็นแอพพกพาจึงไม่จำเป็นต้องติดตั้ง Process Explorer มีคุณสมบัติขั้นสูงทุกชนิดและเราขอแนะนำให้อ่านคู่มือของเราเพื่อทำความเข้าใจกับ Process Explorer เพื่อเรียนรู้เพิ่มเติม.

    วิธีที่ง่ายที่สุดในการติดตามกระบวนการเหล่านี้ใน Process Explorer คือการกด Ctrl + F ก่อนเพื่อเริ่มการค้นหา ค้นหา "conhost" จากนั้นคลิกที่ผลลัพธ์ คุณจะเห็นการเปลี่ยนแปลงหน้าต่างหลักเพื่อแสดงแอพ (หรือบริการ) ที่เชื่อมโยงกับอินสแตนซ์เฉพาะของ Console Window Host.

    หากการใช้งาน CPU หรือ RAM บ่งชี้ว่านี่เป็นอินสแตนซ์ที่ก่อให้เกิดปัญหากับคุณอย่างน้อยที่สุดคุณก็ทำให้มันแคบลงเหลือแอพเฉพาะ.

    กระบวนการนี้อาจเป็นไวรัส?

    กระบวนการนี้เป็นองค์ประกอบของ Windows อย่างเป็นทางการ ในขณะที่เป็นไปได้ว่าไวรัสได้เปลี่ยน Console Window Host จริงด้วยการปฏิบัติการของตนเอง แต่ก็ไม่น่าเป็นไปได้ หากคุณต้องการให้แน่ใจว่าคุณสามารถตรวจสอบตำแหน่งไฟล์พื้นฐานของกระบวนการ ในตัวจัดการงานคลิกขวาที่กระบวนการโฮสต์บริการใด ๆ แล้วเลือกตัวเลือก“ เปิดไฟล์ตำแหน่ง”.

    หากไฟล์ถูกเก็บไว้ในของคุณ Windows \ System32 โฟลเดอร์จากนั้นคุณสามารถค่อนข้างมั่นใจว่าคุณไม่ได้จัดการกับไวรัส.

    ในความเป็นจริงมีโทรจันออกที่นั่นชื่อ Conhost Miner ที่ปลอมตัวเป็นกระบวนการโฮสต์หน้าต่างคอนโซล ในตัวจัดการงานดูเหมือนว่ากระบวนการจริง แต่การขุดเล็กน้อยจะเปิดเผยว่ามันถูกเก็บไว้ใน % userprofile% \ AppData \ Roaming \ Microsoft โฟลเดอร์มากกว่า Windows \ System32 โฟลเดอร์ โทรจันใช้ในการจี้พีซีของคุณเพื่อขุด Bitcoins ดังนั้นพฤติกรรมอื่น ๆ ที่คุณจะสังเกตเห็นว่ามันติดตั้งในระบบของคุณคือการใช้หน่วยความจำสูงกว่าที่คุณคาดไว้และการใช้งาน CPU จะอยู่ในระดับสูงมาก 80%).

    แน่นอนว่าการใช้เครื่องสแกนไวรัสที่ดีเป็นวิธีที่ดีที่สุดในการป้องกัน (และลบ) มัลแวร์เช่น Conhost Miner และเป็นสิ่งที่คุณควรทำ ปลอดภัยกว่าดีกว่าขออภัย!