Conhost.exe là gì và nó có an toàn không?


Khi PC chạy Windows, hàng triệu phép tính đang diễn ra, cho máy tính biết cách thực hiện mọi thứ từ tải trang web đến mở một phần mềm. Quá trình này yêu cầu bất kỳ số lượng dịch vụ hệ thống nào để đưa bạn từ A đến B, với các quy trình như ntoskrnl.exe được thiết kế để đóng một phần trong trải nghiệm người dùng tổng thể.

Điều này bao gồm conhost.exe , một quy trình hệ thống sẽ xuất hiện bất cứ khi nào bạn mở cửa sổ dấu nhắc lệnh. Nhưng conhost.exe chính xác là gì? Và có an toàn khi để quá trình này chạy trên PC của bạn không? Hướng dẫn này sẽ giải thích mọi thứ bạn cần biết về conhost.exe, bao gồm cả cách phát hiện quy trình hệ thống giả mạo.

Conhost.exe là gì?

Quy trình conhost.exe, còn được gọi là quy trình trên máy chủ cửa sổ điều khiển, có nguồn gốc từ Windows XP như một cách cho dấu nhắc lệnh (cmd.exe) để giao diện với các phần tử khác của Windows, bao gồm Windows Explorer như một phần của Dịch vụ hệ thống thời gian chạy của máy chủ khách (csrss.exe) .

Ví dụ: nếu bạn quyết định kéo tệp vào cửa sổ nhắc lệnh, CSRSS sẽ đảm bảo rằng vị trí của tệp sẽ xuất hiện chính xác trên dòng nhắc lệnh.

Thật không may, với tư cách là một quy trình hệ thống chính, điều này có nguy cơ bảo mật rất lớn. Việc cho phép dòng lệnh (với toàn quyền kiểm soát PC của bạn) loại quyền truy cập vào hệ thống tệp này có thể làm hỏng PC của bạn. Mối đe dọa bảo mật này buộc Microsoft phải thực hiện các thay đổi đối với cách hệ thống hoạt động.

Windows Vista cung cấp khả năng bảo mật cao hơn nhưng bị giảm chức năng, khiến không thể kéo và thả tệp vào cửa sổ dòng lệnh . Đối với Windows 10, Microsoft đã giới thiệu quy trình conhost.exe (cùng với quy trình csrss.exe nhỏ hơn nhiều) cho phép dòng lệnh hoạt động an toàn với các quy trình khác mà không có cùng mức độ rủi ro bảo mật csrss.exe được trình bày trong Windows XP.

In_content_1 all: [300x250] / dfp: [640x360]->

Điều này cho phép Microsoft tích hợp chặt chẽ hơn các quy trình như dòng lệnh vào Windows 10, với chủ đề hiện đại và các tính năng kéo và thả giống như trong phiên bản csrss.exe của XP. Nếu bạn đang sử dụng Windows Powershell hiện đại, bạn sẽ thấy bảo mật cao hơn nữa, với csrss.exe và conhost.exe hoàn toàn bị bỏ qua.

Nguyên nhân Conhost.exe có cao không CPU, RAM hoặc mức sử dụng tài nguyên hệ thống cao khác?

Mặc dù ít khả năng xảy ra, nhưng đã có báo cáo rằng conhost.exe gây ra việc sử dụng CPU hoặc RAM cao (hoặc sử dụng tài nguyên hệ thống cao nói chung) trên PC Windows 10 . Nếu điều này xảy ra với bạn, nó có thể chỉ ra một vấn đề lớn hơn với PC của bạn.

Trong các trường hợp bình thường, conhost.exe không được gây ra việc sử dụng tài nguyên hệ thống cao. Nó sẽ chỉ xuất hiện nếu bạn (hoặc một ứng dụng nền) đang sử dụng dòng lệnh. Với Windows PowerShell hiện là công cụ đầu cuối mặc định trong Windows, bạn không cần phải mở cmd.exe chút nào.

Điều đó không làm giảm khả năng các ứng dụng nền khác có thể Tuy nhiên, vẫn đang sử dụng một dòng lệnh ẩn để chạy. Mặc dù chơi các trò chơi DOS cũ không có khả năng gây ra mức sử dụng tài nguyên hệ thống tăng đột biến, nhưng một số ứng dụng hệ thống mới hơn có thể gây ra sự cố.

Để tìm ra thủ phạm, bạn có thể sử dụng Process Explorer. Điều này cho phép bạn xem những ứng dụng đang chạy nào có thể đang giao tiếp với conhost.exe và gây ra việc sử dụng CPU cao.

  1. Để thực hiện việc này, hãy tải xuống và chạy Process Explorer từ trang web của Microsoft. Trong cửa sổ Process Explorer, chọn Find>Find Handle hoặc DLLđể mở hộp tìm kiếm. Ngoài ra, nhấn Ctrl + Ftrên bàn phím của bạn.
    1. Trong Tìm kiếm của Process Explorer, tìm kiếm conhost, sau đó chọn nút Tìm kiếm. Trong danh sách, chọn một trong các kết quả. Process Explorer sẽ ngay lập tức thay đổi chế độ xem để đưa mục vào tiêu điểm.
      1. Thực hiện việc này cho từng ví dụ về conhost.exe chạy trên PC của bạn. Nếu mức sử dụng tài nguyên hệ thống (ví dụ: CPU trong cột CPU) quá cao, bạn có thể kết thúc quá trình bằng cách nhấp chuột phải và chọn tùy chọn Kill Process.
      2. Nếu bạn thấy conhost.exe đang giao tiếp với một ứng dụng hoặc dịch vụ khác mà bạn không nhận ra, điều đó có thể dẫn đến việc nhiễm phần mềm độc hại. Nếu điều này xảy ra, hãy quét PC của bạn để tìm phần mềm độc hại để đảm bảo rằng PC của bạn được sử dụng an toàn.

        Cách xóa Conhost.exe khỏi Windows 10

        Giao diện mà conhost.exe cung cấp cho các ứng dụng nền tiếp tục tỏ ra cần thiết, ngay cả khi dòng lệnh trở nên ít quan trọng hơn trong Windows 10. Theo nghĩa của nó, là một quy trình hệ thống quan trọng, bạn không thể xóa conhost.exe khỏi chạy . Và việc cố gắng làm như vậy có thể ngăn các ứng dụng và dịch vụ khác chạy.

        Đối với hầu hết người dùng, quá trình conhost.exe không gây ra bất kỳ sự cố nào và hoàn toàn an toàn khi tiếp tục chạy. Nếu nó chạy, nó sẽ chạy ở chế độ nền, cho phép các ứng dụng khác giao diện với các cấp thấp hơn của hệ điều hành Windows.

        Nếu bạn đang tự chạy nó thì vẫn không có vấn đề gì, mặc dù về lâu dài chúng tôi vẫn khuyên bạn nên sử dụng chuyển sang PowerShell mới hơn. Tuy nhiên, nơi conhost.exe có thể được chứng minh là có vấn đề, là khi nó được đồng chọn bởi phần mềm giả mạo.

        Một số phần mềm độc hại sẽ chạy các quy trình giả mạo (sử dụng tên conhost.exe) để tự ngụy trang, trong khi những phần mềm khác sẽ giao diện với conhost.exe để có thêm quyền kiểm soát đối với PC của bạn và các tài nguyên của nó. Nếu lo lắng về điều này (ngay cả sau quét phần mềm độc hại ), bạn có thể kiểm tra xem conhost.exe có phải là một quy trình hệ thống hợp pháp hay không.

        Cách kiểm tra xem Conhost.exe là Thực và An toàn

        Trong hầu hết mọi trường hợp, các quy trình hệ thống như conhost.exe và msmpeng.exe chỉ nên chạy từ một nơi trên PC của bạn: thư mục Windows (C : \ Windows) hoặc một trong các thư mục con của nó (ví dụ: C: \ Windows \ System32). Mặc dù có những ngoại lệ đối với các ứng dụng UWP đóng gói như yourphonexe.exe, nhưng điều này vẫn đúng với conhost.exe.

        Điều này giúp bạn dễ dàng xác định xem conhost.exe có an toàn và hợp pháp hay không nó giả mạo bằng cách sử dụng Windows Task Manager để mở vị trí của bất kỳ quy trình conhost.exe nào đang chạy. Nếu bạn muốn chắc chắn rằng conhost không giao tiếp với phần mềm độc hại, bạn có thể sử dụng Process Explorer (như đã giải thích ở trên) để kiểm tra trước.

        1. Để kiểm tra xem conhost.exe có an toàn không, phải không -nhấp vào thanh tác vụ và chọn tùy chọn Trình quản lý tác vụ.
          1. Trong Quy trình>của cửa sổ Task Manager, hãy tìm quy trình Máy chủ cửa sổ Console. Bạn có thể cần phải nhấn biểu tượng mũi tênbên cạnh mỗi quy trình để tìm quy trình đó được liệt kê trong quy trình khác. Ngoài ra, hãy tìm kiếm conhost.exetrong tab Chi tiết.
            1. Để kiểm tra xem quá trình conhost.exe có thật hay không, hãy nhấp chuột phải vào nó trong tab Quy trìnhhoặc Chi tiết, sau đó chọn tùy chọn Mở vị trí tệp.
              1. Thao tác này sẽ mở thư mục C: \ Windows \ System32trong Windows File Explorer. Nếu không, thì quá trình conhost.exe hiện đang chạy là giả mạo. Bạn sẽ cần thực hiện các bước quét PC của mình để loại bỏ có khả năng nhiễm phần mềm độc hại nếu trường hợp này xảy ra.
              2. Bảo mật Hệ thống Windows 10

                Conhost.exe chỉ là một trong nhiều quy trình hệ thống khác nhau đóng một phần trong việc làm cho hệ điều hành Windows tổng thể hoạt động bình thường. Bằng cách làm theo các bước ở trên, bạn có thể tin tưởng rằng các quy trình mà PC của bạn dựa vào đều an toàn để chạy và sử dụng mà không cần dừng hoặc xóa chúng.

                Điều đó không có nghĩa là mọi quy trình đang chạy trên PC an toàn. Nếu lo lắng, bạn có thể lên lịch quét Windows Defender cấp khởi động để kiểm tra mọi tệp trên PC để tìm phần mềm độc hại. Và, nếu điều đó không hiệu quả, có rất nhiều ứng dụng của bên thứ ba có thể loại bỏ phần mềm độc hại cứng đầu.

                bài viết liên quan:


                26.11.2020