ما هو conhost.exe و لماذا يتم تشغيله؟

أنت لا شك في قراءة هذه المقالة لأنك تعثرت عبر عملية Host Console Window (conhost.exe) في إدارة المهام وتتساءل عما هي عليه. لدينا الجواب لك.

تعد هذه المقالة جزءًا من السلسلة المستمرة التي تشرح العمليات المختلفة التي تم العثور عليها في Task Manager ، مثل svchost.exe و dwm.exe و ctfmon.exe و mDNSResponder.exe و rundll32.exe و Adobe_Updater.exe وغيرها الكثير. لا أعرف ما هي تلك الخدمات؟ قراءة أفضل بداية!

فما هي عملية المضيف نافذة وحدة التحكم?

يتطلب فهم عملية Host Window Window قليلاً من المحفوظات. في أيام Windows XP ، تم التعامل مع موجه الأوامر من خلال عملية تسمى ClientServer Runtime System Service (CSRSS). كما يوحي الاسم ، كان CSRSS خدمة على مستوى النظام. هذا خلق بضعة مشاكل. أولاً ، يمكن أن يؤدي انهيار نظام CSRSS إلى انهيار النظام بأكمله ، والذي لا يعرض مشكلات الموثوقية فقط ، ولكن أيضًا نقاط الضعف الأمنية المحتملة. كانت المشكلة الثانية أن CSRSS لا يمكن أن يكون موضوعه ، لأن المطورين لم يرغبوا في المخاطرة برمز الكود ليتم تشغيله في عملية النظام. لذلك ، كان موجه الأوامر دائمًا المظهر الكلاسيكي بدلاً من استخدام عناصر واجهة جديدة.

لاحظ في لقطة شاشة Windows XP أدناه أن موجه الأوامر لا يحصل على نفس التصميم مثل تطبيق Notepad.

قدم نظام التشغيل Windows Vista خدمة Desktop Window Manager - وهي خدمة "توجه" وجهات النظر المركبة للنوافذ على سطح المكتب بدلاً من السماح لكل تطبيق فردي بالتعامل مع ذلك بنفسه. اكتسب The Command Prompt بعض الاستدلال السطحي من هذا (مثل الإطار الزجاجي الموجود في النوافذ الأخرى) ، ولكنه جاء على حساب القدرة على سحب وإسقاط الملفات والنصوص ، وهكذا في نافذة الأوامر السريعة.

ومع ذلك ، ذهب ذلك فقط حتى الآن. إذا نظرت إلى وحدة التحكم في نظام التشغيل Windows Vista ، يبدو أنها تستخدم نفس المظهر مثل كل شيء آخر ، ولكن ستلاحظ أن أشرطة التمرير ما زالت تستخدم النمط القديم. ويرجع ذلك إلى أن مدير سطح المكتب Window يعالج رسم أشرطة وأيقونات العنوان ، ولكن لا تزال نافذة CSRSS قديمة الطراز داخل.

أدخل Windows 7 وعملية Host Console Window. كما يوحي الاسم ، في عملية مضيف لإطار وحدة التحكم. يعمل نوع العملية في المنتصف بين CSRSS و Command Prompt (cmd.exe) ، مما يسمح لنظام Windows بإصلاح كل من عناصر واجهة التعامل السابقة مثل أشرطة التمرير بشكل صحيح ، ويمكنك مرة أخرى السحب والإسقاط في موجه الأوامر. وهذه هي الطريقة التي لا تزال تُستخدم في نظامي التشغيل Windows 8 و 10 ، مما يتيح استخدام كل عناصر الواجهة الجديدة والتصميم التي ظهرت منذ Windows 7.

على الرغم من أن مدير المهام يعرض مضيف نافذة وحدة التحكم ككيان منفصل ، إلا أنه لا يزال مرتبطًا ارتباطًا وثيقًا بـ CSRSS. إذا قمت بالتدقيق في عملية conhost.exe في معالجة Explorer ، يمكنك أن ترى أنه يعمل بالفعل في إطار عملية csrss.ese.

في النهاية ، يعتبر Console Window Host شيئًا مثل shell الذي يحافظ على قوة تشغيل خدمة على مستوى النظام مثل CSRSS ، في حين لا يزال يمنح بشكل آمن وموثوق القدرة على دمج عناصر الواجهة الحديثة.

لماذا هناك عدة حالات من العملية قيد التشغيل?

سترى في كثير من الأحيان عدة حالات من عملية Host Window Window Console قيد التشغيل في Task Manager. سيؤدي كل مثيل لـ "تشغيل موجه الأوامر" إلى إنشاء عملية "مضيف نافذة وحدة التحكم" الخاصة به. بالإضافة إلى ذلك ، ستؤدي التطبيقات الأخرى التي تستخدم سطر الأوامر إلى إنتاج عملية Host Console Windows Host الخاصة بها حتى إذا لم تشاهد نافذة نشطة لها. مثال جيد على ذلك هو تطبيق Plex Media Server ، الذي يعمل كتطبيق في الخلفية ويستخدم سطر الأوامر ليصبح متاحًا للأجهزة الأخرى على شبكتك.

تعمل العديد من تطبيقات الخلفية بهذه الطريقة ، لذلك ليس من غير المألوف رؤية مثيلات متعددة من عملية Host Window Window Console قيد التشغيل في أي وقت محدد. هذا هو السلوك الطبيعي. بالنسبة للجزء الأكبر ، يجب أن تأخذ كل عملية ذاكرة قليلة جدًا (عادةً أقل من 10 ميغابايت) ووحدة المعالجة المركزية صفر تقريباً ما لم تكن العملية نشطة.

ومع ذلك ، إذا لاحظت أن مثيلًا معينًا من Host Console Window أو أي خدمة ذات صلة - يتسبب في مشكلة ، مثل استخدام وحدة المعالجة المركزية (CPU) أو ذاكرة الوصول العشوائي (RAM) الزائدة ، يمكنك التحقق من التطبيقات المعينة المعنية. قد يعطيك ذلك على الأقل فكرة عن مكان بدء استكشاف الأخطاء وإصلاحها. للأسف ، لا يوفر مدير المهام نفسه معلومات جيدة حول هذا الأمر. والخبر السار هو أن Microsoft توفر أداة متقدمة ممتازة للعمل مع العمليات كجزء من مجموعة Sysinternals الخاصة بها. ما عليك سوى تنزيل Process Explorer وتشغيله ، وهو تطبيق محمول ، لذلك لا داعي لتثبيته. يوفر Process Explorer جميع أنواع الميزات المتقدمة - ونوصي بشدة بقراءة دليلنا لفهم Process Explorer لمعرفة المزيد.

إن أسهل طريقة لتعقب هذه العمليات لأسفل في Process Explorer هي أن تضغط أولاً Ctrl + F لبدء عملية بحث. ابحث عن "conhost" ثم انقر فوق النتائج. كما تفعل ، سترى تغيير النافذة الرئيسية لتظهر لك التطبيق (أو الخدمة) المرتبط بهذه النسخة المعينة من Console Window Host.

إذا كان استخدام وحدة المعالجة المركزية أو ذاكرة الوصول العشوائي يشير إلى أن هذا هو المثيل الذي يسبب لك مشكلة ، فعلى الأقل قمت بتضييقه إلى تطبيق معين.

يمكن أن تكون هذه العملية فيروس?

العملية نفسها هي أحد مكونات Windows الرسمية. على الرغم من أنه من المحتمل أن يكون الفيروس قد حل محل "Window Console Window" الحقيقي مع برنامج قابل للتنفيذ خاص به ، فمن غير المحتمل. إذا كنت ترغب في التأكد ، يمكنك التحقق من موقع الملف الأساسي للعملية. في "إدارة المهام" ، انقر بزر الماوس الأيمن فوق أي عملية "خدمة مضيف" واختر الخيار "فتح موقع الملف".

إذا تم تخزين الملف في الخاص بك نوافذ \ system32 مجلد ، ثم يمكنك أن تكون على يقين من أنك لا تتعامل مع فيروس.

هناك ، في الواقع ، هناك حصان طروادة يدعى Conhost Miner الذي يتنكر في عملية Host Window Window Console. في إدارة المهام ، يبدو الأمر مثل العملية الحقيقية ، لكن القليل من الحفر سيكشف أنه مخزن فعليًا في ٪ التشكيل الجانبي للمستخدم٪ \ APPDATA \ التجوال \ مايكروسوفت مجلد بدلا من نوافذ \ system32 مجلد. يتم استخدام حصان طروادة بالفعل لاختطاف جهاز الكمبيوتر الخاص بك لإزالة الألغام Bitcoins ، وبالتالي فإن السلوك الآخر الذي ستلاحظه إذا تم تثبيته على نظامك هو أن استخدام الذاكرة أعلى مما قد تتوقعه وأن استخدام وحدة المعالجة المركزية يحتفظ بمستويات عالية جدًا (غالبًا ما يكون أعلى 80٪).

بالطبع ، إن استخدام ماسح ضوئي جيد للفيروسات هو أفضل طريقة لمنع (وإزالة) البرامج الضارة مثل Conhost Miner ، وهو أمر يجب أن تقوم به على أي حال. آمن أفضل من آسف!