آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت سوم

پس از آنکه در دو روز گذشته دو قسمت از پردازش ها و فرآیندهای در حال اجرا در ویندوز را به شما آموزش دادیم، امروز می خواهیم سومین قسمت از این مجموعه خبری را منتشر کنیم؛ پس با سافت گذر همراه باشید.

منظور از conhost.exe چیست و چرا اجرا می شود؟

آشنایی با فرآیند Console Window Host نیازمند آن است تا کمی در مورد تاریخچه ویندوز بدانید. در ویندوز ایکس پی، برنامه Command Prompt فرآیندی به نام CSRSS داشت که یک سرویس سیستمی بود. CSRSS اشکالات خاص خودش را داشت. مثلاً یک مشکل در آن عملکرد کل رایانه را مختل می کرد و امنیت دستگاه را کاهش می داد و یا امکان دستکاری کدهای مربوط به آن وجود نداشت و توسعه دهندگان نیز در این باره ریسک نمی کردند. به همین دلیل بود که Command Prompt همیشه ظاهر کلاسیک و معمولی داشت و هیچ گاه تغییر نمی کرد.

برای مثال، در زیر تصویر، ظاهر Command Prompt شبیه ظاهر Notepad نیست.

در ویندوز ویستا اما، سرویس Desktop Window Manager عرضه شد تا به جای اینکه هر برنامه خودش اجرا گردد، کنترل لایه های مختلفی از ویندوز را در دست بگیرد. در ادامه نیز Command Prompt قابلیت هایی دریافت کرد که کشیدن و رها کردن فایل ها، متون و . . . از آن جمله بودند.

با همه اینها، ظاهر Command Prompt کمی تغییر کرد. اگر به این بخش در ویندوز ویستا نگاهی بیندازید، می بینید که تم آن تقریباً یکسان باقی مانده ولی نوارهای اسکرولی قدیمی تر شده اند. دلیل این اتفاق آن است که Desktop Window Manager وظیفه طراحی نوارها و چارچوب های مختلف را بر عهده دارد ولی یک پنجره CSRSS قدیمی همچنان استفاده می شود.

آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت اول

آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت دوم

در ویندوز 7، پردازش جدیدی به نام Console Window Host ایجاد شد. همان طور که مشخص است، این یک فرآیند میزبانی برای پنجره های ویندوز می باشد. این پردازش به نوعی میان CSRSS و cmd.exe باقی می ماند تا به ویندوز اجازه دهد مشکلات پیشین مربوط به رابط کاربری و ویژگی های کشیدن و رها کردن را برطرف کند. حالا در ویندوز 8 و 10 نیز از همین روش استفاده می شود.

در حالی که تسک منیجر Console Window Host را به عنوان یک مقوله جداگانه نشان می دهد ولی واقعیت آن است که همچنان با CSRSS ارتباط دارد. اگر conhost.exe را در Process Explorer ببینید، مشاهده خواهید کرد که در زیر فرآیند csrss.ese در حال اجرا می باشد.

در نهایت، Console Window Host چیزی است که قدرت سرویس های سیستمی نظیر CSRSS را تأمین می کند و با ایمنی کامل، رابط کاربری مدرن را در عناصر مختلف ویندوز به وجود می آورد.

اما چرا چندین نوع از این فرآیند در حال اجرا هستند؟

آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت اول

آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت دوم

معمولاً در تسک منیجر چندین مورد از Console Window Host در حال اجرا هستند که هر کدام شامل زیر شاخه های مخصوص به خودش است. به علاوه، هر نرم افزار دیگری که از خطوط دستوری بهره می گیرد نیز فرآیند Console Window Host اختصاصی را دریافت خواهد کرد. یکی از مثال های بارز این اتفاق، نرم افزار Plex Media Server است که در پس زمینه یک اپلیکیشن را اجرا و از خطوط دستوری استفاده می کند تا بتواند با سایر دستگاه های موجود در شبکه ارتباط برقرار نماید.

بسیاری از نرم افزارهای در حال اجرا در پس زمینه از این فرآیند استفاده می کنند بنابراین جای تعجب ندارد که Console Window Hostهای مختلفی به وجود می آیند. در اکثر مواقع، این فرآیندها هر کدام کمتر از 10 مگابایت از حافظه و تقریباً 0 درصد پردازنده را اشغال می کنند مگر اینکه یک فرآیند فعال باشد.

بر این اساس، اگر دیدید یک Console Window Host یا یک سرویس مشابه مشکل ساز شده و از RAM یا CPU بیش از حد استفاده می کند، باید نرم افزاری که به آن مربوط می شود را بررسی کنید. با این کار می توان منشأ مشکل را شناخت. متأسفانه تسک منیجر در این باره اطلاعات کاملی نمی دهد و باید از ابزار Process Explorer که پیش از این در موردش صحبت کرده بودیم، استفاده کنید. این نرم افزار پرتال که برای اجرا نیازی به نصب شدن ندارد، اطلاعات کاملی از فرآیندهای در حال اجرا در ویندوز را به ما ارائه می کند.

آسان ترین راه برای ردیابی این فرآیندها در Process Explorer، زدن دکمه های Ctrl+F است. در پنجره جستجو نمایش داده شده، conhost را نوشته و سپس در نتایج به دست آمده برنامه ای که به یکی از سرویس های Console Window Host مربوط می شود، را پیدا کنید.

اگر در اینجا مصرف بیش از حد CPU یا RAM برایتان به اثبات رسید، حالا راحت تر می توانید مشکل را بررسی کنید.

آیا این فرآیند ممکن است ویروس باشد؟

خودِ conhost.exe یک فرآیند اصلی از اجزای ویندوز است ولی باز هم امکان دارد که یک ویروس مشابه آن رفتار کند که البته احتمالش بسیار پایین خواهد بود. با این وجود، اگر می خواهید مطمئن شوید، باید محل قرارگیری فرآیند را بررسی نمایید. در تسک منیجر، روی هر کدام از فرآیندهای Service Host کلیک راست کرده و گزینه Open File Location را انتخاب کنید.

اگر فایل در آدرس Windows/System32 ذخیره شده، می توانید مطمئن شوید که ویروسی در رایانه وجود ندارد.

در این میان، یک تروجان به نام Conhost Miner خودش را در قالب فرآیند Console Window Host نشان می دهد. در تسک منیجر، این بدافزار همچون دیگر پردازش ها دیده می شود ولی وقتی محل قرارگیری اش را بررسی می کنیم، می بینیم به جای آدرس Windows/System32 در آدرس %userprofile%\AppData\Roaming\Microsoft حضور دارد. این تروجان برای سوءاستفاده از رایانه جهت استخراج بیت کوین طراحی شده بنابراین امکان دارد برخی اوقات CPU بیش از حد اشغال شود و به بالای 80 درصد برسد.

در پایان اشاره کنیم که استفاده از یک آنتی ویروس مطمئن بهترین روش برای در امان ماندن از بدافزارها و تروجان هاست هرچند استفاده از این برنامه ها را همیشه پیشنهاد می کنیم.

آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت اول

آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت دوم