Een TechJunkie-lezer nam gisteren contact met me op en vroeg naar een bepaalde Windows-service die hij op zijn machine opmerkte. Het was 'conhost.exe' en de lezer vroeg zich af wat het was, wat het deed en of het veilig was om op zijn pc te draaien of niet.
Gezien al het nieuws over computerbeveiliging, is het logisch dat mensen zich zorgen maken over diensten die ze niet herkennen. Ik zou altijd aanraden uit te zoeken wat een service of programma is en wat het doet als u het niet onmiddellijk herkent. Zelfs de meest veilige systemen kunnen nog steeds vatbaar zijn voor malware. Dus het is echt beter dan genezen!
Ik ben altijd blij om Windows-gerelateerde vragen te beantwoorden waar ik kan, dus hier is alles wat ik weet over conhost.exe.
Conhost.exe in Windows
Conhost.exe verschijnt als Console Windows Host op Windows 10-computers. Open Taakbeheer (klik met de rechtermuisknop op de Windows-taakbalk en selecteer deze) en scrol vervolgens omlaag naar Windows-processen. Er zouden een of meer instanties van moeten worden uitgevoerd. Mogelijk ziet u meer instanties, misschien niet.
Meerdere exemplaren van Conhost.exe zijn prima als je meerdere programma's hebt geopend, maar als je je computer net hebt opgestart vanuit een uitgeschakelde staat, betekent dit dat je een paar programma's op de achtergrond hebt die je niet nodig hebt.
Wat doet Conhost.exe?
Conhost.exe is een evolutie van crss.exe die werd uitgevoerd op oudere versies van Windows zoals XP. Crss.exe was een tussenpersoon-API waarmee GUI-toepassingen konden communiceren met niet-Gui-toepassingen zoals de opdrachtregel. Als u bijvoorbeeld een tekstbestand met een batchopdracht had, kon u dat tekstbestand naar CMD slepen en kon de opdrachtregel het batchbestand uitvoeren. Programma's die een GUI gebruikten, zouden ook crss.exe gebruiken. om achter de schermen met de console te communiceren.
Met Crss.exe kon de console slepen en neerzetten uitvoeren in een traditioneel niet-slepen en neerzetten console. Crss.exe gebruikte echter de Local System-account om te werken, die veel rechten heeft over een computer. In theorie stond Crss.exe exploitaties toe om te communiceren tussen beperkte gebruikersaccounts waar de GUI-programma's werkten en het lokale systeemaccount waar de console-applicaties werkten. Dit bood een soort brug voor malware om onbeperkte toegang tot uw computer te krijgen.
Crss.exe werd vervangen door conhost.exe in Windows 7 en is nog steeds aanwezig in Windows 10. Het doet nog steeds hetzelfde als crss.exe, maar zonder toegang te verlenen tot lokale systeemaccounts of verhoogde rechten.
De Microsoft Technet-website heeft een nuttige pagina over crss.exe en conhost.exe.
Sommige technische websites praten over conhost.exe over zichzelf met esthetiek en thematisering, maar ik geloof niet dat dit waar is. Op de Technet-pagina wordt uitgelegd dat conhost.exe is geïntroduceerd om de Windows-kern te beveiligen door die brug te breken tussen gebruikersaccounts en lokale machine-accounts. Het vermeldt niets over hoe de console eruit ziet.
Mijn eigen ervaring met Windows Server van verschillende generaties ondersteunt dit. Sinds Server 2003 heeft Microsoft veel werk verzet om het kern-besturingssysteem van gebruikersaccounts te scheiden om het veiliger te maken. Er werd niet veel nagedacht over hoe het eruit zag. Het ging allemaal om hoe het werkte.
Is conhost.exe veilig?
Zoals u waarschijnlijk al weet, kan sommige malware de eigenschappen van legitieme Windows-processen of -programma's nabootsen. Hoewel het op het eerste gezicht vanzelfsprekend lijkt dat conhost.exe veilig is, is het altijd een goed idee om dit te controleren. Hier is hoe.
- Klik met de rechtermuisknop op de Windows-taakbalk en selecteer Taakbeheer.
- Blader omlaag naar Windows-processen en zoek Console Windows Host.
- Klik met de rechtermuisknop en selecteer Eigenschappen.
Onder Locatie zou u C: \ Windows \ System32 moeten zien. Alle instanties van conhost.exe moeten vanaf System32 worden uitgevoerd, dus als u dit ziet, is het veilig. Als de bestandslocatie iets anders is, is deze waarschijnlijk niet legitiem.
Een manier om dit te controleren is om Process Explorer te gebruiken. Dit is een programma dat Taakbeheer gebruikt en het op 11 zet. Open Process Explorer en zoek conhost.exe. Het moet u niet alleen laten zien dat het legitiem is, maar ook met welk programma het werkt. In de afbeelding ziet u die op mijn Windows 10-machine werkt met het Nvidia Web Helper-proces. Dit is een legitiem exemplaar van conhost.exe.
U kunt dit proces herhalen voor elk Windows-proces dat u wilt uitchecken. Elk proces moet zijn locatie hebben op C: \ Windows \ System32. Als dit niet het geval is, voert u uw antivirus- en malwarescanner uit voor het geval dat. Voor achtergrondprocessen moet de locatie overeenkomen met de geïnstalleerde map van het proces.
Ik hoop dat de vraag adequaat is beantwoord. Ja, conhost.exe is legitiem en ja, het is veilig zolang het zijn locatie heeft op C: \ Windows \ System32.
Heb je nog andere Windows-processen waarover je meer wilt weten? Vertel ons hieronder over hen als u dat doet en ik zal proberen er zoveel mogelijk te beantwoorden!
