Welcher Prozess ist conhost.exe?

conhost.exe ist der Hostprozess des Befehlszeilenprogramms. Der vollständige Name von conhost ist Console Host Process; conhost.exe ist ein neuer Konsolenanwendungsverarbeitungsmechanismus, der aus Sicherheitsgründen von Microsoft in Windows 7 und Windows Server 2008 eingeführt wurde.

Die Betriebsumgebung dieses Tutorials: Windows 7-System, Dell G3-Computer.

Was ist der Prozess von conhost.exe?

Hostprozess für Befehlszeilenprogramme.

Der vollständige Name lautet Console Host Process, der Hostprozess des Befehlszeilenprogramms. Einfach ausgedrückt handelt es sich um einen neuen Verarbeitungsmechanismus für Konsolenanwendungen, den Microsoft aus Sicherheitsgründen in Windows 7 und Windows Server 2008 eingeführt hat.

Ursprung und Funktion

Ursprünglich wurde das Host-Programm vor Win7 durch csrss.exe vervollständigt, und alle Befehlszeilenprozesse verwendeten den einzigen csrss.exe-Prozess der Sitzung. In Win7 verfügt jeder Befehlszeilenprozess über einen unabhängigen Conhost als Host. Dies hat natürlich viele Vorteile, z. B. beeinflussen sich die Prozesse nicht gegenseitig und es hat auch keinen Einfluss auf csrss. Schließlich hat csrss andere, wichtigere Aufgaben zu erledigen. Das Wichtigste sind natürlich Sicherheitsaspekte, denn csrss läuft unter dem lokalen Systemkonto. Wenn Sie Windows-Nachrichten verarbeiten möchten, müssen Sie viele Bedrohungen ertragen, wie zum Beispiel den berühmten Windows Message Shatter Attack. Wenn Sie Conhost mit Benutzerrechten verwenden, um damit umzugehen, ist selbst bei einem Angriff nur der Hostprozess mit niedrigen Berechtigungen betroffen.

Tatsächlich werden wir, ob als normale Benutzer oder Unternehmensadministratoren, Konsolenanwendungen mehr oder weniger in unseren täglichen Windows-Anwendungen sowie Betriebs- und Wartungsprozessen verwenden. Die Konsolenanwendung verfügt über keine Benutzeroberfläche. Wir müssen Eingabe- und Ausgabevorgänge über die Eingabeaufforderung ausführen (CMD, dies ist kein DOS, viele Leute sind verwirrt). Zu den Konsolenanwendungen, die mit Windows geliefert werden, gehören normalerweise cmd.exe, nslookup.exe und telnet.exe.

Beziehung zu Csrss.exe

In früheren Windows-Versionen taten alle Anwendungen, die nicht-GUI-Aktivitäten darstellten (d. h. Konsolenanwendungen), dies über den Systemprozess Csrss.exe, wenn sie auf der Desktop-Koordination ausgeführt werden wollten. Wenn eine Konsolenanwendung Zeichen empfangen muss, ruft sie kleine „Konsolen-APIs“ in Kernel32.dll auf, damit Kernel32 LPC zum Aufruf von CSRSS generieren kann. Zu diesem Zeitpunkt überprüft und verifiziert CSRSS die Eingabewarteschlange des Konsolenfensters und gibt die Ergebnisse des Zeichenmodus zur Zuordnung über Kernel32 an die Konsolenanwendung zurück.

Ein solcher Verarbeitungsmechanismus hat bereits zu einem Problem geführt: Selbst wenn eine Konsolenanwendung im Kontext eines normalen Benutzers ausgeführt wird, läuft Csrss.exe immer unter den Berechtigungen des lokalen Systemkontos. Daher kann es in einigen Fällen vorkommen, dass von „bösen Jungs“ entwickelte Malware durch die Ausführung von Csrss.exe mit lokalen Systemkontoberechtigungen mehr Privilegien erlangt. Dieser Angriffsmodus wird Shatter Attack genannt.

Im Zeitalter von Win7 und Windows Server 2008 R2 werden alle Konsolenanwendungen zur Ausführung in einen neuen Kontextprozess ConHost.exe gestellt, und ConHost (Konsolenhost) und Konsolenprogramme werden stattdessen mit derselben Sicherheitsstufe ausgeführt Um eine LPC-Nachrichtenanforderung zur Verarbeitung an CSRSS zu senden, wird eine Anfrage an ConHost gestellt. Daher wird jeder Versuch einer Anwendung, eine Nachrichtenanforderung auszunutzen, um eine automatische Rechteerweiterung herbeizuführen, fehlschlagen.

conhost ist kein Virus ...

conhosts vollständiger Name ist Console Host Process, der Hostprozess des Befehlszeilenprogramms. Jeder weiß, was ein Befehlszeilenprogramm ist, z. B. ipconfig.exe, weil die Befehlszeile Das Programm selbst verfügt über keinen Code. Um die Benutzeroberfläche anzuzeigen, wird der Inhalt des Befehlszeilenfensters, das wir normalerweise sehen, vom Hostprozess vervollständigt, einschließlich der Anzeige des Fensters, der Verarbeitung von Fenstermeldungen usw.

Weitere Informationen zu diesem Thema erhalten Sie Besuchen Sie die FAQ-Kolumne!

Das obige ist der detaillierte Inhalt vonWelcher Prozess ist conhost.exe?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!