En TechJunkie-læser kontaktede mig i går for at spørge om en bestemt Windows-service, som han bemærkede på sin maskine. Det var 'conhost.exe', og læseren spekulerede på, hvad det var, hvad det gjorde, og om det var sikkert at køre på hans pc eller ej.
I betragtning af alle nyhederne om computersikkerhed er det naturligt, at folk er bekymrede for tjenester, de ikke genkender. Jeg vil altid foreslå at finde ud af, hvad en service eller et program er, og hvad det gør, hvis du ikke straks genkender det. Selv de mest sikre systemer kan stadig være modtagelige for malware. Så det er virkelig bedre at være sikker end undskyld!
Jeg er altid glad for at besvare Windows-relaterede spørgsmål, hvor jeg kan, så her er alt hvad jeg ved om conhost.exe.

Conhost.exe i Windows
Conhost.exe vises som Console Windows Host på Windows 10-computere. Åbn Task Manager (højreklik på Windows Task Bar og vælg det), rul derefter ned til Windows-processer, og der skal være et eller flere tilfælde af, at det kører. Du kan se flere tilfælde, måske ikke.
Flere tilfælde af Conhost.exe er fint, hvis du har flere programmer åbne, men hvis du netop har startet din computer fra en slukket tilstand, betyder det, at du har et par programmer, der kører i baggrunden, som du ikke har brug for.
Hvad gør Conhost.exe?
Conhost.exe er en udvikling af crss.exe, der kørte på ældre versioner af Windows såsom XP. Crss.exe var et mellemmand API, der gjorde det muligt for GUI-applikationer at interagere med ikke-Gui-applikationer, såsom kommandolinjen. Hvis du f.eks. Havde en tekstfil, der indeholder en batch-kommando, kunne du trække den tekstfil til CMD, og kommandolinjen kunne udføre batch-filen. Programmer, der brugte en GUI, ville også bruge crss.exe. at interagere med konsollen bag kulisserne.
Crss.exe gjorde det muligt for konsollen at udføre træk og slip i en traditionelt ikke-træk og slip-konsol. Crss.exe brugte imidlertid den lokale systemkonto til at arbejde, som har en masse privilegier over en computer. Crss.exe tilladte teoretisk udnyttelse til at interagere mellem begrænsede brugerkonti, hvor GUI-programmerne fungerede og den lokale systemkonto, hvor konsolapplikationerne fungerede. Dette gav noget af en bro til malware for at få ubegrænset adgang til din computer.
Crss.exe blev erstattet med conhost.exe i Windows 7 og er stadig til stede i Windows 10. Det gør stadig det samme som crss.exe, men uden at give adgang til lokale systemkonti eller forhøjede privilegier.
Microsoft Technet-webstedet har en nyttig side på crss.exe og conhost.exe.
Nogle tech-websteder taler om conhost.exe om sig selv med æstetik og tema, men jeg tror ikke, det er sandt. Technet-siden forklarer, at conhost.exe blev introduceret for at hjælpe med at sikre Windows-kernen ved at bryde broen mellem brugerkonti og lokale maskinkonti. Den nævner intet om, hvordan konsollen ser ud.
Min egen erfaring med Windows Server fra forskellige generationer sikkerhedskopierer dette. Siden Server 2003 gjorde Microsoft meget for at adskille det centrale OS fra brugerkonti for at gøre det mere sikkert. Der blev ikke tænkt meget på, hvordan det så ud. Det handlede om, hvordan det fungerede.

Er conhost.exe sikkert?
Som du sandsynligvis allerede ved, kan noget malware efterligne egenskaberne for legitime Windows-processer eller -programmer. Så mens det på overfladen kan virke indlysende, at conhost.exe er sikkert, er det altid en god ide at kontrollere. Sådan gør du.
- Højreklik på Windows-proceslinjen og vælg Task Manager.
- Rul ned til Windows-processer og find Console Windows Host.
- Højreklik, og vælg Egenskaber.
Under placering skal du se C: \ Windows \ System32. Alle forekomster af conhost.exe skal køre fra System32, så hvis du ser dette, er det sikkert. Hvis filplaceringen er noget andet, er det sandsynligvis ikke legitimt.
En måde at kontrollere er at bruge Process Explorer. Dette er et program, der tager Task Manager og vender det op til 11. Åbn Process Explorer og find conhost.exe. Ud over at vise dig, at det er legitimt, bør det også vise dig, hvilket program det interagerer med. På billedet kan du se den på min Windows 10-maskine, der arbejder med Nvidia Web Helper-processen. Dette er en legitim forekomst af conhost.exe.
Du kan gentage denne proces for alle Windows-processer, du vil tjekke ud. Hver proces skal have sin placering på C: \ Windows \ System32. Hvis det ikke gør det, skal du køre din antivirus- og malware-scanner bare for tilfælde. For baggrundsprocesser skal placeringen matche det installerede bibliotek for processen.
Jeg håber, at spørgsmålet er tilstrækkeligt besvaret. Ja, conhost.exe er legitim, og ja, det er sikkert, så længe det har sin placering på C: \ Windows \ System32.
Har du andre Windows-processer, du gerne vil vide mere om? Fortæl os om dem nedenfor, hvis du gør det, og jeg skal prøve at svare så mange som jeg kan!






