Čitatelj TechJunkie kontaktirao me jučer pitajući o određenoj Windows usluzi koju je primijetio na svom računalu. Bio je to 'conhost.exe' i čitatelj se zapitao što je to, što je učinio i je li sigurno trčati na svom računalu ili ne.
S obzirom na sve novosti o računalnoj sigurnosti, prirodno je da su ljudi zabrinuti zbog usluga koje ne prepoznaju. Uvijek bih predložio da saznate što je usluga ili program i što se događa ako ga odmah ne prepoznate. Čak i najsigurniji sustavi i dalje mogu biti osjetljivi na zlonamjerni softver. Tako da je stvarno bolje biti siguran nego zažaliti!
Uvijek rado odgovaram na pitanja vezana uz Windows gdje god mogu, evo svega što znam o conhost.exe.
Conhost.exe u sustavu Windows
Conhost.exe pojavljuje se kao Console Windows Host na računalima sa sustavom Windows 10. Otvorite upravitelj zadataka (desnom tipkom miša kliknite programsku traku sustava Windows i odaberite je), a zatim se pomaknite prema dolje na Windows procese i tamo bi trebala biti jedna ili više instanci. Možda ćete vidjeti više primjera, a možda ne.
Višestruki slučajevi Conhost.exe su u redu ako imate otvoreno više programa, ali ako ste računalo tek pokrenuli iz stanja isključivanja, to znači da imate nekoliko programa koji se pokreću u pozadini i koji vam nisu potrebni.
Što Conhost.exe radi?
Conhost.exe je evolucija crss.exe koja se izvodila na starijim verzijama sustava Windows, kao što je XP. Crss.exe je bio posrednik API-a koji je omogućio GUI aplikacijama interakciju s aplikacijama koje nisu Gui, poput naredbenog retka. Na primjer, ako ste imali tekstualnu datoteku koja sadrži naredbu serije, možete povući tu tekstualnu datoteku u CMD i naredbeni redak može izvršiti batch datoteku. Programi koji koriste GUI također bi koristili crss.exe. za interakciju s konzolom iza kulisa.
Crss.exe omogućio je konzoli da izvodi povlačenje i ispuštanje u tradicionalno ne-povuci i ispusti konzoli. Međutim, crss.exe je koristio račun lokalnog sustava za rad koji ima puno privilegija preko računala. Crss.exe teoretski dopušta iskorištavanje za interakciju između ograničenih korisničkih računa na kojima su radili GUI programi i računa lokalnog sustava na kojima su radile aplikacije konzole. Ovo je postalo most za zlonamjerni softver kako bi stekli neograničen pristup vašem računalu.
Crss.exe je zamijenjen sa conhost.exe u sustavu Windows 7 i još je prisutan u sustavu Windows 10. I dalje radi isto kao i crss.exe, ali bez davanja pristupa računima lokalnog sustava ili bilo kakvih povećanih privilegija.
Web stranica Microsofta Technet ima korisnu stranicu na crss.exe i conhost.exe.
Neke tehnološke web stranice govore o conhost.exe koji se odnosi na estetiku i tematiku, ali ne vjerujem da je to istina. Na stranici Technet objašnjava da je conhost.exe uveden kako bi se osigurala Windows jezgra razbijanjem tog mosta između korisničkih računa i računa lokalnog računala. Ništa ne spominje kako izgleda konzola.
Moje vlastito iskustvo s Windows Serverom različitih generacija podupire to. Od Server 2003, Microsoft je učinio puno posla na razdvajanju jezgrenog OS-a od korisničkih računa kako bi ga učinio sigurnijim. Nije se razmišljalo o tome kako je to izgledalo. Bilo je sve o tome kako to funkcionira.
Je li conhost.exe siguran?
Kao što vjerojatno već znate, neki zlonamjerni softver može oponašati svojstva zakonitih Windows procesa ili programa. Iako se na površini može činiti očitim da je conhost.exe siguran, uvijek je dobra ideja to provjeriti. Evo kako.
- Desnom tipkom miša kliknite programsku traku sustava Windows i odaberite Upravitelj zadataka.
- Pomaknite se prema dolje do Windows procesa i pronađite Konzole Windows Host.
- Kliknite desnom tipkom miša i odaberite Svojstva.
U odjeljku Location trebali biste vidjeti C: \ Windows \ System32. Sve instance conhost.exe trebale bi se izvoditi iz sustava System32, pa ako to vidite, sigurno je. Ako je lokacija datoteke nešto drugačija, vjerojatno neće biti zakonita.
Jedan od načina provjere je korištenje Procesnog preglednika. Ovo je program koji uzima Upravitelj zadataka i pretvara ga do 11. Otvorite Process Explorer i pronađite conhost.exe. Osim što će vam pokazati da je legitiman, on bi vam trebao pokazati i s kojim programom djeluje. Na slici možete vidjeti onu na mojem Windows 10 stroju koja radi s Nvidia Web Helper procesom. Ovo je legitimna instanca conhost.exe.
Ovaj postupak možete ponoviti za bilo koji Windows sustav koji želite provjeriti. Svaki bi postupak trebao imati svoje mjesto na adresi C: \ Windows \ System32. Ako to ne učini, pokrenite svoj antivirusni i zlonamjerni softver za svaki slučaj. Za pozadinske procese, lokacija bi trebala odgovarati instaliranom direktoriju postupka.
Nadam se da je adekvatno odgovorio na pitanje. Da, conhost.exe je zakonit i da je siguran sve dok ima svoju lokaciju na adresi C: \ Windows \ System32.
Imate li još kakvih Windows procesa o kojima želite znati više? Recite nam nešto o njima ako hoćete, a ja ću pokušati odgovoriti koliko mogu!
