Trang chủ » làm thế nào để » Conhost.exe là gì và tại sao nó lại chạy?

    Conhost.exe là gì và tại sao nó lại chạy?

    Bạn chắc chắn đã đọc bài viết này bởi vì bạn đã tình cờ tìm thấy quy trình của Window Window Host (conhost.exe) trong Trình quản lý tác vụ và đang tự hỏi nó là gì. Chúng tôi đã có câu trả lời cho bạn.

    Bài viết này là một phần trong chuỗi liên tục của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe và nhiều quy trình khác. Không biết những dịch vụ đó là gì? Bắt đầu đọc tốt hơn!

    Vì vậy, quá trình lưu trữ cửa sổ giao diện điều khiển là gì?

    Hiểu quy trình Console Window Host yêu cầu một chút lịch sử. Trong những ngày Windows XP, Dấu nhắc lệnh được xử lý bởi một quy trình có tên là Dịch vụ hệ thống thời gian chạy máy khách (CSRSS). Như tên của nó, CSRSS là một dịch vụ cấp hệ thống. Điều này tạo ra một vài vấn đề. Đầu tiên, một sự cố trong CSRSS có thể làm sập cả một hệ thống, điều này không chỉ gây ra các vấn đề về độ tin cậy mà còn cả các lỗ hổng bảo mật. Vấn đề thứ hai là CSRSS không thể theo chủ đề, vì các nhà phát triển không muốn mạo hiểm mã chủ đề để chạy trong một quy trình hệ thống. Vì vậy, Dấu nhắc lệnh luôn có giao diện cổ điển thay vì sử dụng các thành phần giao diện mới.

    Lưu ý trong ảnh chụp màn hình của Windows XP bên dưới rằng Dấu nhắc lệnh không có kiểu dáng giống như một ứng dụng như Notepad.

    Windows Vista đã giới thiệu Trình quản lý cửa sổ máy tính để bàn - một dịch vụ đưa ra các chế độ xem tổng hợp các cửa sổ trên máy tính để bàn của bạn thay vì để mỗi ứng dụng riêng lẻ tự xử lý. Command Prompt đã đạt được một số chủ đề hời hợt từ cái này (như khung thủy tinh có trong các cửa sổ khác), nhưng nó phải trả giá bằng việc có thể kéo và thả các tập tin, văn bản, v.v. vào cửa sổ Dấu nhắc Lệnh.

    Tuy nhiên, chủ đề đó chỉ đi xa. Nếu bạn nhìn vào bảng điều khiển trong Windows Vista, có vẻ như nó sử dụng cùng một chủ đề như mọi thứ khác, nhưng bạn sẽ nhận thấy rằng các thanh cuộn vẫn đang sử dụng kiểu cũ. Điều này là do Trình quản lý cửa sổ màn hình xử lý vẽ các thanh tiêu đề và khung, nhưng một cửa sổ CSRSS kiểu cũ vẫn nằm bên trong.

    Nhập Windows 7 và quá trình Console Window Host. Như tên của nó, đây là một quá trình lưu trữ cho cửa sổ giao diện điều khiển. Loại quy trình nằm ở giữa giữa CSRSS và Dấu nhắc lệnh (cmd.exe), cho phép Windows sửa cả hai vấn đề trước đó - các thành phần giao diện như thanh cuộn vẽ chính xác và bạn có thể kéo và thả lại vào Dấu nhắc lệnh. Và đó là phương pháp vẫn được sử dụng trong Windows 8 và 10, cho phép tất cả các yếu tố giao diện và kiểu dáng mới xuất hiện kể từ Windows 7.

    Mặc dù Trình quản lý tác vụ trình bày Máy chủ cửa sổ điều khiển như một thực thể riêng biệt, nhưng nó vẫn được liên kết chặt chẽ với CSRSS. Nếu bạn kiểm tra quy trình conhost.exe trong Process Explorer, bạn có thể thấy rằng nó thực sự chạy theo quy trình csrss.ese.

    Cuối cùng, Console Window Host giống như một cái vỏ duy trì sức mạnh khi chạy một dịch vụ cấp hệ thống như CSRSS, trong khi vẫn đảm bảo an toàn và đáng tin cậy khả năng tích hợp các yếu tố giao diện hiện đại.

    Tại sao có một số trường hợp của quá trình đang chạy?

    Bạn sẽ thường thấy một số phiên bản của quy trình Máy chủ cửa sổ điều khiển đang chạy trong Trình quản lý tác vụ. Mỗi phiên bản của Command Prompt đang chạy sẽ sinh ra tiến trình Console Window Host của riêng nó. Ngoài ra, các ứng dụng khác sử dụng dòng lệnh sẽ sinh ra quy trình Console Windows Host của riêng chúng - ngay cả khi bạn không thấy cửa sổ hoạt động cho chúng. Một ví dụ điển hình là ứng dụng Plex Media Server, chạy dưới dạng ứng dụng nền và sử dụng dòng lệnh để cung cấp cho các thiết bị khác trên mạng của bạn.

    Nhiều ứng dụng nền hoạt động theo cách này, vì vậy không có gì lạ khi thấy nhiều phiên bản của quy trình Máy chủ cửa sổ điều khiển chạy bất cứ lúc nào. Đây là hành vi bình thường. Đối với hầu hết các phần, mỗi quy trình sẽ chiếm rất ít bộ nhớ (thường dưới 10 MB) và CPU gần như bằng không trừ khi quy trình được kích hoạt.

    Điều đó nói rằng, nếu bạn nhận thấy rằng một phiên bản cụ thể của Console Window Host - hoặc một dịch vụ liên quan - đang gây rắc rối, như việc sử dụng CPU hoặc RAM quá mức liên tục, bạn có thể kiểm tra các ứng dụng cụ thể có liên quan. Điều đó ít nhất có thể cung cấp cho bạn một ý tưởng về nơi bắt đầu xử lý sự cố. Thật không may, Trình quản lý tác vụ không cung cấp thông tin tốt về điều này. Tin tốt là Microsoft cung cấp một công cụ tiên tiến tuyệt vời để làm việc với các quy trình như là một phần của dòng Sysiternals của nó. Chỉ cần tải xuống Process Explorer và chạy nó - đó là một ứng dụng di động, vì vậy không cần phải cài đặt nó. Process Explorer cung cấp tất cả các loại tính năng nâng cao - và chúng tôi khuyên bạn nên đọc hướng dẫn của mình để hiểu về Process Explorer để tìm hiểu thêm.

    Cách dễ nhất để theo dõi các quá trình này trong Process Explorer là trước tiên nhấn Ctrl + F để bắt đầu tìm kiếm. Tìm kiếm trên mạng conhost và sau đó nhấp qua kết quả. Khi bạn làm như vậy, bạn sẽ thấy thay đổi cửa sổ chính để hiển thị cho bạn ứng dụng (hoặc dịch vụ) được liên kết với phiên bản cụ thể đó của Console Window Host.

    Nếu việc sử dụng CPU hoặc RAM chỉ ra rằng đây là trường hợp gây rắc rối cho bạn, thì ít nhất bạn đã thu hẹp nó vào một ứng dụng cụ thể.

    Quá trình này có thể là một virus?

    Quá trình này là một thành phần chính thức của Windows. Mặc dù có khả năng virus đã thay thế Máy chủ cửa sổ điều khiển thực sự bằng một chương trình thực thi của chính nó, nhưng điều đó là không thể. Nếu bạn muốn chắc chắn, bạn có thể kiểm tra vị trí tệp bên dưới của quy trình. Trong Trình quản lý tác vụ, bấm chuột phải vào bất kỳ quy trình Máy chủ dịch vụ nào và chọn tùy chọn Vị trí mở tệp.

    Nếu tập tin được lưu trữ trong Windows \ System32 thư mục, sau đó bạn có thể khá chắc chắn rằng bạn không phải đối phó với vi-rút.

    Trên thực tế, có một trojan ngoài đó có tên là Công cụ khai thác Conhost giả mạo là Quá trình lưu trữ trên cửa sổ điều khiển. Trong Trình quản lý tác vụ, nó xuất hiện giống như quy trình thực, nhưng một chút đào sẽ tiết lộ rằng nó thực sự được lưu trữ trong % userprofile% \ AppData \ Roaming \ Microsoft thư mục chứ không phải là Windows \ System32 thư mục. Trojan thực sự được sử dụng để chiếm quyền điều khiển PC của bạn để khai thác Bitcoin, do đó, hành vi khác bạn sẽ nhận thấy nếu nó được cài đặt trên hệ thống của bạn là mức sử dụng bộ nhớ cao hơn bạn mong đợi và mức sử dụng CPU duy trì ở mức rất cao (thường ở trên 80%).

    Tất nhiên, sử dụng trình quét vi-rút tốt là cách tốt nhất để ngăn chặn (và loại bỏ) phần mềm độc hại như Công cụ khai thác Conhost và đó là điều bạn nên làm dù sao đi nữa. Cẩn tắc vô ưu!