See artikkel on osa meie käimasolevast seeriast, mis selgitab ülesannete halduril leiduvaid erinevaid protsesse, nagu svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe ja paljud teised. Kas te ei tea, millised on need teenused? Parem alustage lugemist!
Mis on konsooli aknal põhinev protsess?
Konsooli akna hostimise protsessi mõistmine nõuab natuke ajalugu. Windows XP päeva jooksul käitus käsureale protsess, mida nimetas ClientServer Runtime System Service (CSRSS). Nagu nimigi osutab, oli CSRSS süsteemitaseme teenus. See tekitas paari probleeme. Esiteks võib CSRSSi kokkupõrge tuua kokku kogu süsteemi, mis ei ohusta mitte ainult usaldusväärsuse probleeme, vaid ka võimalikke turvaaukusid. Teine probleem oli see, et CSRSSi ei saanud teemadeks, sest arendajad ei soovinud riskida teemakoode süsteemiprotsessis. Nii oli käsureale alati olnud pigem klassikaline välimus kui uute liideseelementide kasutamine.
Allpool märkige Windows XP ekraanipildil, et käsuviiba ei saa samasuguse kujundusega nagu rakendus, nagu Notepad.
Ikka, et nende teemade tegemine läks nii kaugele. Kui vaatate konsooli Windows Vista-s, tundub, et see kasutab sama teemat nagu kõik muu, kuid märkate, et kerimisribad kasutavad endiselt endist stiili. Seda seetõttu, et töölaua aknahaldur käitleb tiitliribade ja -raamide joonistamist, kuid sees on vananenud CSRSSi aken.
Isegi kui ülesannete haldur tutvustab konsooliakna hosti eraldi üksusena, on see endiselt tihedalt seotud CSRSSiga. Kui kontrollite protsess Exploreris conhost.exe protsessi, võite näha, et see tegelikult töötab protsessi csrss.ese all.
Miks on käimas protsessi mitmel korral?
Sel moel töötavad paljud taustrakendused, nii et pole mõnikord näha konsooli aknahalduri protsessi mitut eksemplari mis tahes ajahetkel. See on normaalne käitumine. Enamikul juhtudel peaks iga protsess võtma väga vähe mälu (tavaliselt alla 10 MB) ja peaaegu nulli CPU, kui protsess pole aktiivne.
See tähendab, et kui märkate, et Console Window Host'i või sellega seotud teenuse konkreetne eksemplar põhjustab probleeme, nagu pidev liigne CPU või RAM-i kasutamine, võite kontrollida konkreetsetes rakendustes, mis on kaasatud. See võib vähemalt anda teile idee, kust probleemide käivitamine algab. Kahjuks ei paku tööülesannete haldur ise seda teavet. Hea uudis on see, et Microsoft pakub suurepärase täiustatud tööriista töötamiseks protsesside osana oma Sysinternals joonistus. Lihtsalt laadige alla Process Explorer ja käivitage see - see on kaasaskantav rakendus, seega pole vaja seda installida. Protsessijuht pakub igat liiki täiustatud funktsioone. Soovitame väga selgelt lugeda meie juhendit, et õppida Explore Explorerist rohkem teada saama.
Protsessoriotsijas on nende protsesside jälgimiseks kõige lihtsam viis esmalt otsingu alustamiseks vajutada Ctrl + F. Otsi "conhost" ja seejärel tulemuste kaudu. Nagu tegi, näete põhiakna muudatust, et näidata teile seda konkreetset konsooli aknakäsku juhtumiga seotud rakendust (või teenust).
Kas see protsess võib olla viirus?
Protsess ise on ametlik Windowsi komponent. Kuigi on võimalik, et viirus on asendanud tõelise konsooli aknahalduri koos oma käivitatava failiga, on see ebatõenäoline.Kui soovite olla kindel, saate kontrollida protsessi aluseks olevat faili asukohta. Taskuhalduris paremklõpsake ükskõik millist teenindusprotokolli ja valige suvand "Ava faili asukoht".
WindowsSystem32
kaust, siis võite olla üsna kindel, et te ei tegele viirusega.
%userprofile%AppDataRoamingMicrosoft
kausta asemel
WindowsSystem32
kausta. Trojan kasutab tegelikult oma arvuti viirustamiseks oma Bitcoinid, nii et muu käitumine, mida te märkate, kui see on teie süsteemile paigaldatud, on see, et mälu kasutamine on kõrgem kui võis arvata ja CPU kasutamine jääb väga kõrgele tasemele (sageli üle selle 80%).
Loomulikult on hea viiruse skänneri kasutamine parim viis vältida (ja eemaldada) pahavara, nagu Conhost Miner, ja see on midagi, mida peaksite igal juhul tegema. Parem karta kui kahetseda!