Conhost.exe là gì và tại sao nó lại chạy?

Bạn chắc chắn khi đọc bài viết này vì bạn đã tình cờ gặp quy trình Máy chủ cửa sổ điều khiển (conhost.exe) trong Trình quản lý tác vụ và đang tự hỏi nó là gì. Chúng tôi đã có câu trả lời cho bạn.

LIÊN QUAN:Quá trình này là gì và tại sao nó lại chạy trên PC của tôi?

Bài viết này là một phần của loạt bài đang diễn ra của chúng tôi giải thích các quy trình khác nhau được tìm thấy trong Trình quản lý tác vụ, như svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe và nhiều quy trình khác. Không biết những dịch vụ đó là gì? Tốt hơn hãy bắt đầu đọc!

Vậy Quy trình Máy chủ Cửa sổ Console là gì?

Để hiểu quy trình Máy chủ Cửa sổ Bàn điều khiển yêu cầu một chút lịch sử. Trong những ngày Windows XP, Command Prompt được xử lý bởi một quy trình có tên là ClientServer Runtime System Service (CSRSS). Như tên của nó, CSRSS là một dịch vụ cấp hệ thống. Điều này đã tạo ra một vài vấn đề. Đầu tiên, một sự cố trong CSRSS có thể phá hủy toàn bộ hệ thống, điều này không chỉ làm lộ ra các vấn đề về độ tin cậy mà còn cả các lỗ hổng bảo mật có thể xảy ra. Vấn đề thứ hai là CSRSS không thể theo chủ đề, bởi vì các nhà phát triển không muốn mạo hiểm để mã chủ đề chạy trong một quy trình hệ thống. Vì vậy, Command Prompt luôn có giao diện cổ điển hơn là sử dụng các phần tử giao diện mới.

Lưu ý trong ảnh chụp màn hình Windows XP bên dưới rằng Command Prompt không có kiểu dáng giống như một ứng dụng như Notepad.

LIÊN QUAN:Trình quản lý cửa sổ máy tính để bàn (dwm.exe) là gì và tại sao nó chạy?

Windows Vista đã giới thiệu Trình quản lý cửa sổ trên màn hình - một dịch vụ “vẽ” các khung nhìn tổng hợp của các cửa sổ lên màn hình của bạn thay vì để từng ứng dụng riêng lẻ tự xử lý. Command Prompt đạt được một số chủ đề bề ngoài từ điều này (giống như khung kính hiện diện trong các cửa sổ khác), nhưng nó phải trả giá bằng khả năng kéo và thả tệp, văn bản, v.v. vào cửa sổ Command Prompt.

Tuy nhiên, họ chỉ đi xa cho đến nay. Nếu bạn nhìn vào bảng điều khiển trong Windows Vista, có vẻ như nó sử dụng cùng một chủ đề với mọi thứ khác, nhưng bạn sẽ nhận thấy rằng các thanh cuộn vẫn đang sử dụng kiểu cũ. Điều này là do Trình quản lý Cửa sổ Máy tính để bàn xử lý việc vẽ các thanh tiêu đề và khung, nhưng một cửa sổ CSRSS kiểu cũ vẫn nằm bên trong.

Nhập Windows 7 và quy trình Máy chủ Cửa sổ Bảng điều khiển. Như tên của nó, nó là một tiến trình máy chủ cho cửa sổ giao diện điều khiển. Loại quy trình nằm ở giữa CSRSS và Command Prompt (cmd.exe), cho phép Windows khắc phục cả hai vấn đề trước đó — các phần tử giao diện như thanh cuộn vẽ chính xác và bạn lại có thể kéo và thả vào Command Prompt. Và đó là phương pháp vẫn được sử dụng trong Windows 8 và 10, cho phép tất cả các yếu tố giao diện và kiểu dáng mới đã xuất hiện kể từ Windows 7.

Mặc dù Trình quản lý tác vụ trình bày Máy chủ cửa sổ điều khiển như một thực thể riêng biệt, nó vẫn được liên kết chặt chẽ với CSRSS. Nếu bạn kiểm tra quy trình conhost.exe trong Process Explorer, bạn có thể thấy rằng nó thực sự chạy theo quy trình csrss.ese.

Cuối cùng, Console Window Host là một thứ giống như một cái vỏ duy trì sức mạnh của việc chạy một dịch vụ cấp hệ thống như CSRSS, trong khi vẫn cấp khả năng tích hợp các phần tử giao diện hiện đại một cách an toàn và đáng tin cậy.

Tại sao có một số trường hợp của quá trình đang chạy?

Bạn sẽ thường thấy một số trường hợp của quy trình Máy chủ cửa sổ bảng điều khiển đang chạy trong Trình quản lý tác vụ. Mỗi phiên bản Command Prompt đang chạy sẽ tạo ra quy trình Máy chủ Cửa sổ Bảng điều khiển của riêng nó. Ngoài ra, các ứng dụng khác sử dụng dòng lệnh sẽ tạo ra quy trình Máy chủ Windows trên Console của riêng chúng — ngay cả khi bạn không thấy cửa sổ hoạt động cho chúng. Một ví dụ điển hình về điều này là ứng dụng Plex Media Server, chạy dưới dạng ứng dụng nền và sử dụng dòng lệnh để tự cung cấp cho các thiết bị khác trong mạng của bạn.

Nhiều ứng dụng nền hoạt động theo cách này, vì vậy không có gì lạ khi thấy nhiều phiên bản của quy trình Máy chủ cửa sổ bảng điều khiển đang chạy tại bất kỳ thời điểm nào. Đây là hành vi bình thường. Đối với hầu hết các phần, mỗi quá trình sẽ chiếm rất ít bộ nhớ (thường dưới 10 MB) và gần như bằng không CPU trừ khi quá trình đang hoạt động.

Điều đó nói rằng, nếu bạn nhận thấy rằng một phiên bản cụ thể của Máy chủ cửa sổ điều khiển — hoặc một dịch vụ có liên quan — đang gây ra sự cố, chẳng hạn như sử dụng CPU hoặc RAM liên tục, bạn có thể kiểm tra các ứng dụng cụ thể có liên quan. Điều đó ít nhất có thể cung cấp cho bạn ý tưởng về nơi bắt đầu khắc phục sự cố. Rất tiếc, bản thân Task Manager không cung cấp thông tin tốt về điều này. Tin tốt là Microsoft cung cấp một công cụ tiên tiến tuyệt vời để làm việc với các quy trình như một phần của dòng sản phẩm Sysinternals. Chỉ cần tải xuống Process Explorer và chạy nó — đây là một ứng dụng di động nên không cần cài đặt. Process Explorer cung cấp tất cả các loại tính năng nâng cao — và chúng tôi thực sự khuyên bạn nên đọc hướng dẫn của chúng tôi để hiểu Process Explorer để tìm hiểu thêm.

LIÊN QUAN:Ứng dụng "Portable" là gì và tại sao nó lại quan trọng?

Cách dễ nhất để theo dõi các quá trình này trong Process Explorer là trước tiên nhấn Ctrl + F để bắt đầu tìm kiếm. Tìm kiếm “conhost” và sau đó nhấp vào kết quả. Khi làm như vậy, bạn sẽ thấy cửa sổ chính thay đổi để hiển thị cho bạn ứng dụng (hoặc dịch vụ) được liên kết với phiên bản cụ thể của Máy chủ cửa sổ điều khiển.

Nếu mức sử dụng CPU hoặc RAM cho thấy đây là trường hợp khiến bạn gặp rắc rối, thì ít nhất bạn đã thu hẹp nó xuống một ứng dụng cụ thể.

Quá trình này có thể là một vi-rút?

Bản thân quá trình này là một thành phần chính thức của Windows. Mặc dù có thể vi-rút đã thay thế Máy chủ lưu trữ cửa sổ bảng điều khiển thực bằng một tệp thực thi của riêng nó, nhưng điều này khó xảy ra. Nếu muốn chắc chắn, bạn có thể kiểm tra vị trí tệp cơ bản của quy trình. Trong Trình quản lý Tác vụ, nhấp chuột phải vào bất kỳ quy trình Máy chủ Dịch vụ nào và chọn tùy chọn “Mở Vị trí Tệp”.

Nếu tệp được lưu trữ trong Windows \ System32 thì bạn có thể khá chắc chắn rằng bạn đang không xử lý vi-rút.

Trên thực tế, có một trojan có tên Conhost Miner giả mạo là Quy trình Máy chủ Cửa sổ Bàn điều khiển. Trong Trình quản lý tác vụ, nó xuất hiện giống như quy trình thực, nhưng đào sâu một chút sẽ tiết lộ rằng nó thực sự được lưu trữ trong % userprofile% \ AppData \ Roaming \ Microsoft thư mục hơn là Windows \ System32 thư mục. Trojan thực sự được sử dụng để chiếm quyền điều khiển PC của bạn để khai thác Bitcoin, vì vậy, hành vi khác mà bạn sẽ nhận thấy nếu nó được cài đặt trên hệ thống của bạn là mức sử dụng bộ nhớ cao hơn bạn có thể mong đợi và mức sử dụng CPU duy trì ở mức rất cao (thường ở trên 80%).

LIÊN QUAN:Phần mềm chống vi-rút tốt nhất cho Windows 10 là gì? (Bộ bảo vệ Windows có đủ tốt không?)

Tất nhiên, sử dụng một trình quét vi rút tốt là cách tốt nhất để ngăn chặn (và xóa) phần mềm độc hại như Conhost Miner và đó là điều bạn nên làm. Cẩn tắc vô ưu!