En TechJunkie-läsare kontaktade mig igår och frågade om en viss Windows-tjänst som han märkte på sin maskin. Det var 'conhost.exe' och läsaren undrade vad det var, vad det gjorde och om det var säkert att köra på hans PC eller inte.
Med tanke på alla nyheter om datasäkerhet är det naturligt att människor är oroliga för tjänster de inte känner igen. Jag föreslår alltid att ta reda på vad en tjänst eller ett program är och vad det gör om du inte omedelbart känner igen den. Även de säkraste systemen kan fortfarande vara mottagliga för skadlig programvara. Så det är verkligen bättre att vara säker än ledsen!
Jag är alltid glad över att besvara Windows-relaterade frågor var jag än kan, så här är allt jag vet om conhost.exe.
Conhost.exe i Windows
Conhost.exe visas som Console Windows Host i Windows 10-datorer. Öppna Task Manager (högerklicka på Windows Aktivitetsfält och välj det), bläddra sedan ner till Windows-processer så ska det finnas ett eller flera instanser av att det körs. Du kanske ser fler fall, kanske du inte.
Flera instanser av Conhost.exe är bra om du har flera program öppna, men om du bara startade datorn från ett avstängt tillstånd betyder det att du har några program som körs i bakgrunden som du inte behöver.
Vad gör Conhost.exe?
Conhost.exe är en utveckling av crss.exe som kördes på äldre versioner av Windows som XP. Crss.exe var ett mellanhand API som tillät GUI-applikationer att interagera med icke-Gui-applikationer som kommandoraden. Om du till exempel hade en textfil som innehåller ett batchkommando kan du dra den textfilen till CMD och kommandoraden kan köra batchfilen. Program som använde ett GUI skulle också använda crss.exe. att interagera med konsolen bakom kulisserna.
Crss.exe tillät konsolen att dra och släppa i en traditionellt icke-dra och släpp konsol. Crss.exe använde dock det lokala systemkontot för att fungera som har många privilegier över en dator. Crss.exe tillät teoretiskt utnyttjande för att interagera mellan begränsade användarkonton där GUI-programmen fungerade och det lokala systemkontot där konsolapplikationerna fungerade. Detta gav något av en bro för skadlig programvara för att få obegränsad åtkomst till din dator.
Crss.exe ersattes med conhost.exe i Windows 7 och finns fortfarande i Windows 10. Det gör fortfarande samma sak som crss.exe men utan att ge åtkomst till lokala systemkonton eller några förhöjda privilegier.
Microsoft Technet-webbplatsen har en användbar sida på crss.exe och conhost.exe.
Vissa tekniska webbplatser pratar om conhost.exe om sig själv med estetik och teman men jag tror inte att det är sant. Technet-sidan förklarar att conhost.exe introducerades för att hjälpa till att säkra Windows-kärnan genom att bryta den bron mellan användarkonton och lokalmaskinkonton. Den nämner ingenting om hur konsolen ser ut.
Min egen erfarenhet av Windows Server från olika generationer stöder detta. Sedan Server 2003 gjorde Microsoft en hel del arbete för att separera kärnans OS från användarkonton för att göra det säkrare. Inte mycket tanke över hur det såg ut. Det handlade om hur det fungerade.
Är conhost.exe säkert?
Som du antagligen redan vet kan vissa skadliga program efterlikna egenskaperna för legitima Windows-processer eller -program. Så på ytan kan det tyckas uppenbart att conhost.exe är säkert, det är alltid en bra idé att kontrollera. Här är hur.
- Högerklicka på Windows Aktivitetsfält och välj Task Manager.
- Rulla ner till Windows-processer och hitta Console Windows Host.
- Högerklicka och välj Egenskaper.
Under Plats bör du se C: \ Windows \ System32. Alla instanser av conhost.exe bör köras från System32 så om du ser detta är det säkert. Om filplatsen är något annorlunda är det troligtvis inte legitimt.
Ett sätt att kontrollera är att använda Process Explorer. Detta är ett program som tar Task Manager och förvandlar det till 11. Öppna Process Explorer och hitta conhost.exe. Förutom att visa dig att det är legitimt, bör det också visa dig vilket program det interagerar med. På bilden kan du se den på min Windows 10-maskin som arbetar med Nvidia Web Helper-processen. Detta är en legitim instans av conhost.exe.
Du kan upprepa den här processen för alla Windows-processer du vill kolla in. Varje process bör ha sin plats på C: \ Windows \ System32. Om inte, kör din antivirus- och skadlig kodskanner bara för fall. För bakgrundsprocesser bör platsen matcha den installerade katalogen för processen.
Jag hoppas att tillräckligt besvarade frågan. Ja, conhost.exe är legitimt och ja, det är säkert så länge den har sin plats på C: \ Windows \ System32.
Har du några andra Windows-processer som du vill veta mer om? Berätta om dem nedan om du gör det och jag ska försöka svara så många jag kan!
