TechJunkieの読者が昨日、彼のマシンで気づいた特定のWindowsサービスについて尋ねてきました。 それは「conhost.exe」であり、読者はそれが何で、何をし、自分のPCで実行しても安全かどうか疑問に思いました。
コンピュータのセキュリティに関するすべてのニュースを考えると、人々が認識していないサービスを心配するのは当然です。 サービスまたはプログラムが何であるか、そしてすぐにそれを認識しない場合はそれが何をするのかを見つけることを常にお勧めします。 最も安全なシステムでさえ、マルウェアの影響を受けやすい場合があります。 だから、ごめんなさいよりも安全である方が本当に良いです!
Windows関連の質問にはいつでもお答えしますので、conhost.exeについて知っていることはすべてここにあります。
WindowsのConhost.exe
Conhost.exeは、Windows 10コンピューターでコンソールWindowsホストとして表示されます。 タスクマネージャーを開き(Windowsタスクバーを右クリックして選択)、Windowsプロセスまでスクロールすると、1つ以上のインスタンスが実行されているはずです。 より多くのインスタンスが表示される場合がありますが、表示されない場合があります。
Conhost.exeの複数のインスタンスは、複数のプログラムを開いている場合は問題ありませんが、コンピューターを電源オフ状態から起動しただけの場合、バックグラウンドで実行する必要のないプログラムがいくつかあることを意味します。
Conhost.exeは何をしますか?
Conhost.exeは、XPなどの古いバージョンのWindowsで実行されたcrss.exeの進化版です。 Crss.exeは、GUIアプリケーションがコマンドラインなどの非GUIアプリケーションと対話できるようにする仲介者APIでした。 たとえば、バッチコマンドを含むテキストファイルがある場合、そのテキストファイルをCMDにドラッグし、コマンドラインでバッチファイルを実行できます。 GUIを使用するプログラムもcrss.exeを使用します。 舞台裏でコンソールと対話します。
Crss.exeにより、コンソールは従来のドラッグアンドドロップではないコンソールでドラッグアンドドロップを実行できました。 ただし、crss.exeはローカルシステムアカウントを使用して、コンピューターに対する多くの特権を持っています。 Crss.exeは、理論的には、GUIプログラムが機能する制限されたユーザーアカウントとコンソールアプリケーションが機能するローカルシステムアカウントとの間でやり取りを行うエクスプロイトを許可していました。 これにより、マルウェアがコンピューターに無制限にアクセスできるようになります。
Crss.exeは、Windows 7ではconhost.exeに置き換えられ、Windows 10にも存在します。crss.exeと同じことを行いますが、ローカルシステムアカウントまたは昇格された特権へのアクセスを許可しません。
Microsoft Technet Webサイトには、crss.exeおよびconhost.exeに関する役立つページがあります。
一部のハイテクWebサイトでは、conhost.exeについて、美学とテーマについて語っていますが、これが真実だとは思いません。 Technetページでは、conhost.exeが、ユーザーアカウントとローカルマシンアカウント間のブリッジを壊すことによりWindowsコアを保護するために導入されたと説明しています。 コンソールの表示方法については何も言及していません。
さまざまな世代のWindows Serverでの私自身の経験がこれを裏付けています。 Server 2003以降、Microsoftは、コアOSをより安全にするために、ユーザーアカウントからコアOSを分離するために多くの作業を行いました。 それがどのように見えるかについてはあまり考えられませんでした。 それはそれがどのように機能するかについてのすべてでした。
conhost.exeは安全ですか?
既にご存知のように、一部のマルウェアは正規のWindowsプロセスまたはプログラムのプロパティを模倣する可能性があります。 そのため、表面上はconhost.exeが安全であることは明白に思えるかもしれませんが、常に確認することをお勧めします。 方法は次のとおりです。
- Windowsタスクバーを右クリックし、[タスクマネージャー]を選択します。
- Windowsプロセスまでスクロールダウンし、コンソールWindowsホストを見つけます。
- 右クリックして[プロパティ]を選択します。
[場所]の下に、C:\ Windows \ System32が表示されます。 conhost.exeのすべてのインスタンスはSystem32から実行する必要があるため、これが表示されても安全です。 ファイルの場所が異なる場合は、正当ではない可能性があります。
チェックする1つの方法は、Process Explorerを使用することです。 これは、タスクマネージャを使用して11まで起動するプログラムです。プロセスエクスプローラを開き、conhost.exeを見つけます。 合法であることを示すだけでなく、どのプログラムとやり取りしているのかを示す必要があります。 この画像では、Windows 10マシンの1つがNvidia Web Helperプロセスで動作していることがわかります。 これは、conhost.exeの正当なインスタンスです。
チェックアウトするWindowsプロセスに対してこのプロセスを繰り返すことができます。 すべてのプロセスの場所は、C:\ Windows \ System32である必要があります。 そうでない場合は、万一に備えてウイルス対策およびマルウェアスキャナーを実行します。 バックグラウンドプロセスの場合、ロケーションはインストールされているプロセスのディレクトリと一致する必要があります。
質問に適切に回答したことを願っています。 はい、conhost.exeは正当であり、はい、C:\ Windows \ System32に場所がある限り安全です。
詳細を知りたい他のWindowsプロセスがありますか? あなたがそうするならば、それらについて以下に私たちに教えてください、そして、私はできるだけ多くに答えようとします!
