Un lettore TechJunkie mi ha contattato ieri chiedendomi di un particolare servizio Windows che ha notato sul suo computer. Era "conhost.exe" e il lettore si chiedeva cosa fosse, cosa facesse e se fosse sicuro o meno eseguirlo sul suo PC.
Date tutte le notizie sulla sicurezza informatica, è naturale che le persone siano preoccupate per i servizi che non riconoscono. Suggerirei sempre di scoprire cos'è un servizio o programma e cosa fa se non lo riconosci immediatamente. Anche i sistemi più sicuri possono comunque essere sensibili al malware. Quindi è davvero meglio prevenire che curare!
Sono sempre felice di rispondere alle domande relative a Windows ovunque sia possibile, quindi ecco tutto ciò che so su conhost.exe.
Conhost.exe in Windows
Conhost.exe appare come Console Windows Host in computer Windows 10. Apri Task Manager (fai clic con il pulsante destro del mouse sulla barra delle attività di Windows e selezionala), quindi scorri verso il basso fino ai processi di Windows e dovrebbe esserci una o più istanze in esecuzione. Potresti vedere più casi, potresti no.
Più istanze di Conhost.exe vanno bene se hai più programmi aperti, ma se hai appena avviato il computer da uno stato spento, significa che hai alcuni programmi in esecuzione in background che non ti servono.
Che cosa fa Conhost.exe?
Conhost.exe è un'evoluzione di crss.exe eseguito su versioni precedenti di Windows come XP. Crss.exe era un'API middleman che consentiva alle applicazioni GUI di interagire con applicazioni non Gui come la riga di comando. Ad esempio, se si disponesse di un file di testo contenente un comando batch, è possibile trascinare quel file di testo in CMD e la riga di comando potrebbe eseguire il file batch. I programmi che utilizzavano una GUI usavano anche crss.exe. per interagire con la console dietro le quinte.
Crss.exe ha permesso alla console di eseguire il trascinamento della selezione in una console tradizionalmente non trascinabile. Tuttavia, crss.exe ha utilizzato l'account di sistema locale per funzionare, che ha molti privilegi su un computer. Crss.exe ha teoricamente consentito agli exploit di interagire tra account utente con restrizioni in cui i programmi della GUI funzionavano e l'account di sistema locale in cui funzionavano le applicazioni della console. Ciò ha fornito una sorta di ponte per il malware per ottenere l'accesso senza restrizioni al tuo computer.
Crss.exe è stato sostituito con conhost.exe in Windows 7 ed è ancora presente in Windows 10. Fa ancora la stessa cosa di crss.exe ma senza concedere l'accesso agli account di sistema locale o privilegi elevati.
Il sito Web Microsoft Technet ha una pagina utile su crss.exe e conhost.exe.
Alcuni siti Web di tecnologia parlano di conhost.exe che si occupa di estetica e temi, ma non credo sia vero. La pagina Technet spiega che conhost.exe è stato introdotto per aiutare a proteggere il core di Windows rompendo quel ponte tra account utente e account del computer locale. Non menziona nulla di come appare la console.
La mia esperienza con Windows Server di varie generazioni lo conferma. Da Server 2003, Microsoft ha lavorato molto per separare il sistema operativo principale dagli account utente al fine di renderlo più sicuro. Non si pensò molto a come appariva. Era tutto su come funzionava.
Conhost.exe è sicuro?
Come probabilmente già saprai, alcuni malware possono imitare le proprietà di processi o programmi Windows legittimi. Quindi, mentre in superficie potrebbe sembrare ovvio che conhost.exe sia sicuro, è sempre una buona idea controllare. Ecco come.
- Fare clic con il tasto destro sulla barra delle applicazioni di Windows e selezionare Task Manager.
- Scorri verso il basso fino a Processi Windows e individua l'host Windows della console.
- Fare clic con il tasto destro e selezionare Proprietà.
In Posizione, dovresti vedere C: \ Windows \ System32. Tutte le istanze di conhost.exe dovrebbero essere eseguite da System32, quindi se vedi questo, è sicuro. Se il percorso del file è diverso, è probabile che non sia legittimo.
Un modo per verificare è utilizzare Process Explorer. Questo è un programma che accetta Task Manager e lo trasforma in 11. Apri Process Explorer e trova conhost.exe. Oltre a mostrarti che è legittimo, dovrebbe anche mostrarti con quale programma interagisce. Nell'immagine, puoi vedere quello sul mio computer Windows 10 funziona con il processo Web Helper di Nvidia. Questa è un'istanza legittima di conhost.exe.
È possibile ripetere questo processo per qualsiasi processo di Windows che si desidera verificare. Ogni processo dovrebbe avere la sua posizione in C: \ Windows \ System32. In caso contrario, esegui il tuo scanner antivirus e malware per ogni evenienza. Per i processi in background, l'ubicazione deve corrispondere alla directory installata del processo.
Spero che abbia risposto adeguatamente alla domanda. Sì, conhost.exe è legittimo e sì, è sicuro purché abbia la sua posizione in C: \ Windows \ System32.
Hai altri processi Windows di cui vorresti saperne di più? Raccontaci di seguito se lo fai e cercherò di rispondere a quante più persone possibile!
