Що таке conhost.exe і чому він працює?

Ви, без сумніву, читаєте цю статтю, тому що натрапили на хост вікна консолі (conhost.exe) у диспетчері завдань і цікавитесь, що це таке. Ми отримали для вас відповідь.

ПОВ’ЯЗАНІ: Що це за процес і чому він працює на моєму ПК?

Ця стаття є частиною нашої поточної серії, що пояснює різні процеси, знайдені в диспетчері завдань, такі як svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe та багато інших. Не знаєте, що це за послуги? Краще починай читати!

Отже, що таке процес розміщення вікна консолі?

Розуміння процесу хосту вікна консолі вимагає трохи історії. У дні Windows XP командний рядок оброблявся процесом під назвою ClientServer Runtime System Service (CSRSS). Як випливає з назви, CSRSS був послугою системного рівня. Це створило пару проблем. По-перше, збій у CSRSS може зруйнувати цілу систему, яка виявила не лише проблеми надійності, але й можливі вразливості безпеки. Друга проблема полягала в тому, що CSRSS не можна було тематизувати, оскільки розробники не хотіли ризикувати, щоб код теми запускався в системному процесі. Отже, командний рядок завжди мав класичний вигляд, а не використовував нові елементи інтерфейсу.

Зверніть увагу на скріншоті Windows XP нижче, що Командний рядок не має такого стилю, як програма, наприклад Блокнот.

ПОВ’ЯЗАНІ: Що таке менеджер вікон робочого столу (dwm.exe) і чому він працює?

Windows Vista представила Desktop Window Manager - послугу, яка «малює» на робочому столі складені види вікон, а не дозволяє кожному окремому додатку обробляти це самостійно. Командний рядок отримав від цього деякі поверхневі теми (наприклад, склоподібний кадр, присутній в інших вікнах), але це відбулося за рахунок можливості перетягування файлів, тексту тощо у вікно командного рядка.

Тим не менше, це тематика зайшла так далеко. Якщо ви поглянете на консоль у Windows Vista, схоже, вона використовує ту саму тему, що і все інше, але ви помітите, що смуги прокрутки все ще використовують старий стиль. Це пов’язано з тим, що менеджер вікон робочого столу обробляє малювання рядків заголовків та кадру, але всередині залишається старомодне вікно CSRSS.

Увійдіть у Windows 7 та процес хосту вікна консолі. Як випливає з назви, це процес хосту для вікна консолі. Процес начебто знаходиться посередині між CSRSS і командним рядком (cmd.exe), що дозволяє Windows виправити обидві попередні проблеми - елементи інтерфейсу, такі як смуги прокрутки, малюють правильно, і ви можете знову перетягнути в командний рядок. І це метод, який досі використовується в Windows 8 і 10, дозволяючи всі нові елементи інтерфейсу та стилі, які з’явилися після Windows 7.

Хоча диспетчер завдань представляє хост вікна консолі як окрему сутність, він все ще тісно пов'язаний з CSRSS. Якщо ви перевірите процес conhost.exe у Провіднику процесів, ви зможете побачити, що він насправді працює в процесі csrss.ese.

Врешті-решт, хост вікна консолі - це щось на зразок оболонки, яка підтримує потужність запуску сервісу системного рівня, такого як CSRSS, в той же час надійно та надійно надаючи можливість інтегрувати сучасні елементи інтерфейсу.

Чому існує кілька випадків запуску процесу?

Часто ви бачите кілька екземплярів процесу хосту вікна консолі, запущеного в диспетчері завдань. Кожен екземпляр запущеного командного рядка породить власний процес розміщення вікна консолі. Крім того, інші програми, які використовують командний рядок, породять власний процес хосту Windows Console - навіть якщо ви не бачите активного вікна для них. Хорошим прикладом цього є програма Plex Media Server, яка працює у фоновому режимі та використовує командний рядок, щоб стати доступною для інших пристроїв у вашій мережі.

Багато фонових додатків працюють таким чином, тому нерідкі випадки, коли в будь-який момент працює кілька екземплярів процесу хосту вікна консолі. Це нормальна поведінка. Здебільшого кожен процес повинен займати дуже мало пам'яті (зазвичай менше 10 МБ) і майже нульовий процесор, якщо процес не активний.

Тим не менш, якщо ви помітите, що конкретний екземпляр хоста вікна консолі - або пов’язаної з ним служби - створює проблеми, як постійне надмірне використання центрального процесора або оперативної пам’яті, ви можете перевірити конкретні програми, які беруть участь. Це, принаймні, може дати вам уявлення про те, з чого почати вирішення проблем. На жаль, сам диспетчер завдань не надає належної інформації про це. Хороша новина полягає в тому, що Microsoft пропонує чудовий вдосконалений інструмент для роботи з процесами в рамках своєї лінійки Sysinternals. Просто завантажте Process Explorer і запустіть його - це портативний додаток, тому не потрібно його встановлювати. Process Explorer надає всі види розширених функцій, і ми настійно рекомендуємо прочитати наш посібник із розуміння Process Explorer, щоб дізнатися більше.

ПОВ’ЯЗАНІ: Що таке „портативний” додаток і чому це важливо?

Найпростіший спосіб відстежити ці процеси в Провіднику процесів - спочатку натиснути Ctrl + F, щоб розпочати пошук. Знайдіть “conhost”, а потім натисніть результати. Під час цього ви побачите зміну головного вікна, щоб показати програму (або послугу), пов’язану з цим конкретним екземпляром хоста вікна консолі.

Якщо використання центрального процесора або оперативної пам’яті вказує на те, що саме цей екземпляр створює вам проблеми, то, принаймні, ви звузили його до певної програми.

Чи може цей процес бути вірусом?

Сам процес є офіційним компонентом Windows. Хоча можливо, що вірус замінив реальний хост вікна консолі на власний виконуваний файл, це навряд чи. Якщо ви хочете бути впевнені, ви можете перевірити розташування основного файлу процесу. У диспетчері завдань клацніть правою кнопкою миші будь-який процес хосту служби та виберіть опцію “Відкрити розташування файлу”.

Якщо файл зберігається у вашій Windows\System32папці, ви можете бути впевнені, що не маєте справу з вірусом.

Насправді існує троян, названий Conhost Miner, який маскується як процес хосту вікна консолі. У диспетчері завдань це схоже на справжній процес, але невелике копання виявить, що воно насправді зберігається в %userprofile%\AppData\Roaming\Microsoftпапці, а не в Windows\System32папці. Троян фактично використовується для викрадення вашого ПК для видобутку біткойнів, тому інша поведінка, яку ви помітите, якщо вона встановлена ​​у вашій системі, полягає в тому, що обсяг пам'яті вищий, ніж ви могли очікувати, а використання центрального процесора підтримується на дуже високому рівні (часто вище 80%).

ПОВ’ЯЗАНІ: Який найкращий антивірус для Windows 10? (Чи достатньо хороший Захисник Windows?)

Звичайно, використання хорошого вірусного сканера - найкращий спосіб запобігти (і видалити) шкідливе програмне забезпечення, таке як Conhost Miner, і це те, що ви все одно повинні робити. Краще перестрахуватися, ніж потім шкодувати!