در این مطلب به شما توضیح خواهیم داد که پروسه‌ی conhost.exe چیست و چرا همانند بسیاری از پروسه‌های دیگر در ویندوز 10، بدون اجازه‌ی شما شروع به فعالیت می‌کند.

پروسه‌ی conhost.exe یا Console Window Host چیست؟

برای درک کامل عملکرد پروسه‌ی Console Window Host در ویندوز، ابتدا باید کمی به قبل برگردیم و تاریخچه‌ی ویندوز را بررسی کنیم. زمانی که ویندوز XP سیستم عامل غالب در بازار کامپیوترها بود، پنل Command Prompt توسط سرویسی با نام ClientServer Runtime System Service یا CSRSS کنترل می‌شد. از نام این سرویس به راحتی می‌توان فهمید که عملکرد CSRSS، در سطح سیستمی بود و از سرویس‌های حیاطی و مهم سیستم عامل محسوب می‌شد. و البته همین باعث به وجود آمدن چندین مشکل دیگر نیز می‌شد. اولین مشکل این بود که اگر سرویس CSRSS کرش می‌کرد یا به هر دلیل دیگری از کار می‌افتاد، به همراه آن تمام سیستم عامل نیز متوقف می‌شد. همین باعث می‌شد که ویندوز XP کاملاً قابل اطمینان نباشد و همچنین حفره‌های امنیتی متعددی به وجود بیاید و سیستم عامل از نظر امنیتی آسیب پذیر شود. مشکل دیگر این بود که ظاهر سرویس CSRSS را نمی‌شد همانند دیگر اجزای ویندوز عوض کرد، به دلیل این که وجود کدهای مربوط به تغییرات ظاهری در یک سرویس یا پروسه‌ی سیستمی دارای ریسک بود و به همین دلیل، پنل Command Prompt همواره دارای ظاهر (و رابط کاربری) قدیمی و کلاسیک ویندوز بود.

همانطور که در اسکرین شات زیر می‌بینید، پنل Command Prompt دارای ظاهر کلاسیک ویندوز است، در حالی که نوت پد که با آن مقایسه شده است، دارای عناصر ظاهری جدید (متعلق به دوران ویندوز XP) است.

در ویندوز ویستا، سرویس Desktop Window Manager معرفی شد (برای کسب اطلاعات بیشتر، به این مطلب مراجعه کنید). با اضافه شدن این سرویس به ویندوز، به جای آن که هر اپلیکیشن پنجره‌ی مربوط به خودش را کنترل کند، این سرویس تصویری فشرده از تمام محتوای صفحه را در نمایشگر به تصویر می‌کشد. با اضافه شدن این سرویس، امکان تغییر ظاهر پنل Command Prompt در ویندوز ممکن شد (و همانند سایر بخش‌های ویندوز، ظاهری شیشه‌ای دریافت کرد) ولی در عوض آن، گرفتن و رها کردن فایل‌ها در پنل Command Prompt دیگر ممکن نبود.

ولی همچنان این تغییر ظاهر و هماهنگی با سایر اجزای ویندوز تا یک حد مشخصی ممکن بود. اگر پیش آمده باشد که در ویندوز ویستا Command Prompt را باز کرده باشید، احتمالاً متوجه شده‌اید که اسکرول‌بارها در آن هنوز دارای ظاهر قدیمی هستند. دلیلش این است که سرویس Desktop Window Manager تنها قاب اطراف پنل Command Prompt را کنترل می‌کنند، ولی سرویس قدیمی CSRSS همچنان در آن وجود دارد.

با عرضه‌ی ویندوز 7 به بازار به عنوان جایگزین ویندوز ویستا، پروسه‌ی Console Window Host نیز با آن معرفی شد. همان طور که از نام آن معلوم است، نقش این پروسه هاست کردن پنل Command Prompt (یا همان Console) در ویندوز است. می‌توان گفت که این پروسه در ویندوز، میان CSRSS و cmd.exe (پنل Command Prompt) قرار می‌گیرد و هر دو مشکلی که در ابتدای مطلب ذکر کردیم را بر طرف کند. با وجود Console Window Host، تمام اجزای ظاهری پنل Command Prompt مانند اسکرول‌بارها به درستی نمایش داده می‌شدند و همانند قبل، گرفتن و رها کردن فایل‌ها در Command Prompt امکان پذیر شد. همین متود همچنان در ویندوز 8 و ویندوز 10 استفاده می‌شود و اجازه می‌دهد که ظاهر Command Prompt با سایر اجزای ویندوز هماهنگ شود.

با این که در تسک منیجر پروسه‌ی Console Window Host یک ورودی جدا و مستقل است، این پروسه همچنان دارای ارتباطی نزدیک با CSRSS است. اگر با استفاده از ابزار Process Explorer، پروسه‌ی conhost.exe را بررسی کنید، خواهید دید که این پروسه تحت پروسه‌ی csrss.exe فعالیت می‌کند.

به طور خلاصه، Console Window Host چیزی مانند یک قالب است که قادر است سرویس‌های سیستمی‌ای مانند CSRSS را به اجرا در آورد، به طوری که امنیت سیستم عامل را مختل نمی‌کند و استفاده از اجزای ظاهری مدرن را در آن‌ها امکان پذیر می‌کند.

چرا چندین پروسه‌ی conhost.exe در تسک منیجر نمایش داده می‌شود؟

عمدتاً پیش می‌آید که در تسک منیجر بیش از یک پروسه‌ی conhost.exe نشان داده شود. در ویندوز، به ازای باز بودن هر پنل Command Prompt، یک پروسه‌ی conhost.exe متعلق به آن پنل فعال می‌شود. علاوه بر آن، هر اپلیکیشنی که به نحوی از Command Prompt استفاده می‌کند نیز پروسه‌ی conhost.exe خودش را اجرا می‌کنند، حتی اگر پنل Command Prompt در صفحه ظاهر نشود. یکی از اپلیکیشن‌هایی که این گونه فعالیت می‌کند،  Plex Media Server است. این اپلیکیشن در پس زمینه در ویندوز فعالیت می‌کند و برای اتصال به دیگر کامپیوترهای یک شبکه، از Command Prompt استفاده می‌کند.

بسیاری از اپلیکیشن‌هایی که در ویندوز در پس زمینه فعالیت می‌کنند، این گونه کار می‌کنند. بنابراین، اجرا شدن چند پروسه‌های conhost.exe به صورت هم زمان در ویندوز کاملاً عادی است. در اکثر مواقع، هر پروسه‌ی conhost.exe مقداری خیلی کمی از حافظه‌‎ی رم را اشغال می‌کند (معمولاً کمتر از 10 مگابایت) و از پردازنده استفاده نمی‌شود، مگر این که پروسه در ویندوز فعال باشد.

اگر یکی از پروسه‌های conhost.exe یا سرویسی مربوط به آن مشکلی ایجاد کرده است، مانند استفاده‌ی بیش از حد از پردازنده و رم، ابتدا بهتر است اپلیکیشن‌های مربوط به آن را بررسی کنید، این گونه در اشکال زدایی این پروسه خواهیم دانست که از کجا باید شروع کرد. متاسفانه، تسک منیجر اطلاعات مفیدی در این زمینه به ما نمی‌دهد. البته می‌توان با استفاده از ابزار Process Explorer که توسط خود مایکروسافت ارائه شده است، زیر و بم پروسه‌ی conhost.exe را بررسی کرد. از طریق این لینک، ابزار Process Explorer را دانلود کنید و آن را اجرا کنید (این ابزار نیازی به نصب ندارد).

در Process Explorer کلیدهای Ctrl + F را فشار دهید تا پنل جست و جو باز شود. عبارت conhost را تایپ کنید و روی نتیجه‌های به دست آمده کلیک کنید. با کلیک روی نتایج جست و جو، خواهید دید که در پنجره‌ی اصلی Process Explorer اپلیکیشن مربوط به آن پروسه نیز انتخاب می‌شود.

اگر میزان مصرف پروسه‌ی conhost.exe از رم و پردازنده زیاد است، با این کار حداقل خواهید دانست که کدام اپلیکیشن باعث رخ دادن آن شده است.

آیا امکان دارد که این پروسه در واقع یک ویروس باشد؟

پروسه‌ی conhost.exe یکی از بخش‌های اصلی ویندوز است. با این که ممکن است ویروسی با استفاده از نام این پروسه در ویندوز فعالیت کند، امکان رخ دادن آن کم است. البته برای اطمینان بیشتر، می‌توانید محلی را که این پروسه در آن اجرا شده است را بررسی کنید. در تسک منیجر، روی یکی از پروسه‌های conhost.exe کلیک راست کنید و در منوی نمایش داده شده، روی Open File Location کلیک کنید.

اگر فایل نمایش داده شده در آدرس Windows\System32 قرار دارد، این پروسه یک ویروس نیست.

البته یک تروجان با نام Conhost Miner وجود دارد که با استفاده از نام پروسه‌ی Console Window Host در ویندوز فعالیت می‌کند. این تروجان در تسک منیجر به صورت یک پروسه‌ی واقعی به نظر می‌رسد، ولی با کمی بررسی بیشتر خواهید فهمید که فایل اجرا کننده‌ی آن در آدرس userprofile%\AppData\Roaming\Microsoftfolder% قرار دارد، نه Windows\System32. این تروجان در واقع از سیستم شما برای استخراج بیت کوین استفاده می‌کند. با فعال شدن این تروجان در سیستمتان، مقدار رم اشغال شده و فعالیت پردازنده به شدت بالا می‌رود (معمولاً بالای 80 درصد). البته با استفاده از یک نرم افزار آنتی ویروس معتبر و خوب می‌توان از وارد شدن این تروجان به سیستمتان جلوگیری کرد و همچنین آن را حذف کرد.

منبع :

HOW TO GEEK

224 پست
مسعود پاکراه
مطالب مرتبط
در مای نوکیا بخوانید
  • No items.
  • دیدگاه کاربران
    هنوز دیدگاهی ثبت نشده
    برای نوشتن دیدگاه می توانید به حساب کاربری خود وارد شوید ورود ارسال نظر به صورت مهمان
    برچسب ها: , ,