Un lector de TechJunkie es va posar en contacte amb mi ahir preguntant sobre un servei Windows particular que es va adonar del seu aparell. Era "conhost.exe" i el lector es preguntava què era, què feia i si era segur funcionar al seu ordinador o no.
Tenint en compte totes les novetats sobre seguretat informàtica, és natural que la gent estigui preocupada pels serveis que no reconeixen. Sempre suggereixo esbrinar què és un servei o programa i què fa si no el reconeixes immediatament. Fins i tot els sistemes més segurs encara poden ser susceptibles a programari maliciós. Així que és millor estar segur que ho sento!
Sempre estic encantat de respondre a les preguntes relacionades amb el Windows allà on puc, així que tot el que sé sobre conhost.exe
Conhost.exe en Windows
Conhost.exe apareix com a consola de Windows Host als equips Windows 10. Obriu el Gestor de tasques (feu clic amb el botó dret a la barra de tasques del Windows i seleccioneu-lo) i, a continuació, desplaceu-vos cap avall fins als processos de Windows i hauria d’haver-hi un o més casos en funcionament. És possible que vegis més casos, potser no.
Mucs casos de Conhost.exe estan bé si teniu diversos programes oberts, però si només heu arrencat l’ordinador des d’un estat d’apagat, significa que teniu uns quants programes en funcionament en segon pla que no necessiteu.
Què fa Conhost.exe?
Conhost.exe és una evolució de crss.exe que utilitzava versions anteriors de Windows com XP. Crss.exe era una API intermediària que permetia a les aplicacions GUI interactuar amb aplicacions que no fossin Gui, com la línia de comandaments. Per exemple, si teníeu un fitxer de text que contingués una ordre per lots, podríeu arrossegar aquest fitxer de text a CMD i la línia d'ordres podria executar el fitxer per lots. Els programes que utilitzaven una GUI també utilitzarien crss.exe. per interactuar amb la consola entre bastidors.
Crss.exe va permetre a la consola fer arrossegar i deixar anar una consola tradicionalment de no arrossegar i deixar anar. No obstant això, crss.exe va utilitzar el compte del sistema local per funcionar, que té molts privilegis en un equip. Teòricament, Crss.exe permet que les explotacions interactuessin entre els comptes d'usuari restringits on funcionaven els programes GUI i el compte del sistema local on treballaven les aplicacions de la consola. Això va proporcionar una solució de pont perquè el programari maliciós obtingui accés sense restriccions al vostre ordinador.
Crss.exe es va substituir per conhost.exe a Windows 7 i continua present a Windows 10. Encara fa el mateix que crss.exe, però sense concedir accés als comptes del sistema local ni a privilegis elevats.
El lloc web de Microsoft Technet té una pàgina útil a crss.exe i conhost.exe.
Alguns llocs web tecnològics parlen de conhost.exe sobre estètica i temàtica, però no crec que això sigui cert. La pàgina de Technet explica que conhost.exe es va introduir per ajudar a protegir el nucli de Windows trencant aquest pont entre els comptes d'usuari i els comptes de màquina local. No menciona res sobre com apareix la consola.
La meva pròpia experiència amb el servidor de Windows de diverses generacions confirma. Des del servidor 2003, Microsoft va treballar molt per separar el sistema operatiu principal dels comptes d’usuari per tal de fer-lo més segur. No es va pensar gaire en com es veia. Es tractava de com funcionava.
Conhost.exe és segur?
Com és probable que ja sabeu, algun programari maliciós pot imitar les propietats dels processos o programes Windows legítims. Així que mentre que a la superfície pot semblar obvi que conhost.exe és segur, sempre és bona idea comprovar-ho. Heus aquí com.
- Feu clic amb el botó dret a la barra de tasques del Windows i seleccioneu Administrador de tasques.
- Desplaceu-vos cap avall als processos de Windows i localitzeu la consola de Windows Host.
- Feu clic amb el botó dret i seleccioneu Propietats.
A Ubicació, haureu de veure C: \ Windows \ System32. Totes les instàncies de conhost.exe haurien d’executar-se des de System32 de manera que si veieu això, és segur. Si la ubicació del fitxer és diferent, és probable que no sigui legítima.
Una manera de comprovar és utilitzar Process Explorer. Aquest és un programa que requereix Task Manager i el converteix en 11. Obriu l'explorador de processos i cerqueu conhost.exe. A més de demostrar-vos que és legítim, també us ha de mostrar amb quin programa està interactuant. A la imatge, podeu veure la de la meva màquina Windows 10 que funciona amb el procés Nvidia Web Helper. Aquesta és una instància legítima de conhost.exe.
Podeu repetir aquest procés per a qualsevol procés de Windows que vulgueu fer la sortida. Cada procés ha de tenir la seva ubicació a C: \ Windows \ System32. Si no és així, executeu el vostre escàner antivirus i programari maliciós per si de cas. Per als processos de fons, la ubicació hauria de coincidir amb el directori instal·lat del procés.
Espero que respongui adequadament a la pregunta. Sí, conhost.exe és legítim i sí, és segur sempre que tingui la seva ubicació a C: \ Windows \ System32.
Teniu algun altre procés de Windows sobre el qual us agradaria més informació? Expliqueu-nos-les a continuació si ho fas i intentaré respondre el màxim que puguis!
