어제 TechJunkie 독자가 자신의 컴퓨터에서 발견 한 특정 Windows 서비스에 대해 문의했습니다. 그것은 'conhost.exe'였으며 독자는 그것이 무엇인지, 무엇을했는지, PC에서 안전하게 실행할 수 있는지 궁금해했습니다.
컴퓨터 보안에 대한 모든 뉴스를 감안할 때 사람들이 인식하지 못하는 서비스에 대해 우려하는 것은 당연합니다. 항상 서비스 나 프로그램이 무엇인지, 그리고 즉시 인식하지 못하면 어떻게해야하는지 찾아 보는 것이 좋습니다. 가장 안전한 시스템조차도 여전히 맬웨어에 감염 될 수 있습니다. 따라서 미안보다 안전하는 것이 정말 좋습니다!
나는 항상 여기에 내가 할 수있는 곳마다 Windows 관련 질문에 대답 드리겠습니다. conhost.exe.
Windows의 Conhost.exe
Conhost.exe는 Windows 10 컴퓨터에서 콘솔 Windows 호스트로 나타납니다. 작업 관리자를 열고 (Windows 작업 표시 줄을 마우스 오른쪽 단추로 클릭 한 후 선택) Windows 프로세스로 스크롤하면 하나 이상의 인스턴스가 실행되고 있습니다. 더 많은 인스턴스가 표시 될 수 있지만 그렇지 않을 수도 있습니다.
여러 개의 프로그램이 열려 있으면 Conhost.exe의 여러 인스턴스가 적합하지만 전원이 꺼진 상태에서 컴퓨터를 부팅 한 경우 백그라운드에서 필요하지 않은 몇 개의 프로그램이 실행되고 있음을 의미합니다.
Conhost.exe는 무엇을합니까?
Conhost.exe는 XP와 같은 이전 버전의 Windows에서 실행되는 crss.exe의 진화입니다. Crss.exe는 GUI 응용 프로그램이 명령 줄과 같은 비 Gui 응용 프로그램과 상호 작용할 수 있도록하는 중개인 API였습니다. 예를 들어 배치 명령이 포함 된 텍스트 파일이있는 경우 해당 텍스트 파일을 CMD로 끌어서 명령 줄에서 배치 파일을 실행할 수 있습니다. GUI를 사용한 프로그램도 crss.exe를 사용합니다. 무대 뒤에서 콘솔과 상호 작용합니다.
Crss.exe를 통해 콘솔은 기존의 드래그 앤 드롭 콘솔에서 끌어서 놓기를 수행 할 수있었습니다. 그러나 crss.exe는 로컬 시스템 계정을 사용하여 컴퓨터에 대해 많은 권한을 가지고있었습니다. Crss.exe는 이론적으로 익스플로잇이 GUI 프로그램이 작동하는 제한된 사용자 계정과 콘솔 응용 프로그램이 작동 한 로컬 시스템 계정간에 상호 작용할 수 있도록 허용했습니다. 이는 컴퓨터에 무제한으로 액세스 할 수있는 맬웨어의 다리 역할을했습니다.
Crss.exe는 Windows 7에서 conhost.exe로 바뀌 었으며 Windows 10에도 여전히 존재합니다. 여전히 crss.exe와 동일하지만 로컬 시스템 계정이나 상승 된 권한에 대한 액세스 권한을 부여하지 않습니다.
Microsoft Technet 웹 사이트에는 crss.exe 및 conhost.exe에 대한 유용한 페이지가 있습니다.
일부 기술 웹 사이트는 미학 및 테마와 관련하여 conhost.exe에 대해 이야기하지만 이것이 사실이라고는 생각하지 않습니다. Technet 페이지에서는 conhost.exe가 사용자 계정과 로컬 컴퓨터 계정 사이의 브리지를 끊어 Windows 코어를 보호하기 위해 도입되었다고 설명합니다. 콘솔이 어떻게 나타나는지에 대해서는 언급하지 않습니다.
다양한 세대의 Windows Server에 대한 내 자신의 경험이이를 뒷받침합니다. Server 2003 이후 Microsoft는 핵심 OS를 사용자 계정과 분리하여 더 안전하게 만들었습니다. 그것이 어떻게 생겼는지에 대해 많은 생각이 없었습니다. 그것이 어떻게 작동했는지에 관한 것이 었습니다.
conhost.exe는 안전합니까?
이미 알고 있듯이 일부 맬웨어는 합법적 인 Windows 프로세스 또는 프로그램의 속성을 모방 할 수 있습니다. 따라서 표면에 conhost.exe가 안전하다는 것이 명백해 보일 수 있지만 항상 확인하는 것이 좋습니다. 방법은 다음과 같습니다.
- Windows 작업 표시 줄을 마우스 오른쪽 단추로 클릭하고 작업 관리자를 선택하십시오.
- Windows 프로세스까지 아래로 스크롤하여 콘솔 Windows 호스트를 찾으십시오.
- 마우스 오른쪽 버튼을 클릭하고 속성을 선택하십시오.
위치 아래에 C : \ Windows \ System32가 표시됩니다. conhost.exe의 모든 인스턴스는 System32에서 실행해야하므로이 경우 안전합니다. 파일 위치가 다른 경우 합법적이지 않을 수 있습니다.
확인하는 한 가지 방법은 프로세스 탐색기를 사용하는 것입니다. 이 프로그램은 작업 관리자를 가져 와서 최대 11 개로 설정하는 프로그램입니다. 프로세스 탐색기를 열고 conhost.exe를 찾으십시오. 그것이 합법적이라는 것을 보여줄뿐만 아니라, 어떤 프로그램과 상호 작용하는지 보여줄 것입니다. 이미지에서 Windows 10 컴퓨터의 Nvidia Web Helper 프로세스가 작동하는 것을 볼 수 있습니다. conhost.exe의 합법적 인 인스턴스입니다.
체크 아웃하려는 모든 Windows 프로세스에 대해이 프로세스를 반복 할 수 있습니다. 모든 프로세스는 C : \ Windows \ System32에 위치해야합니다. 그렇지 않은 경우를 대비하여 바이러스 백신 및 맬웨어 스캐너를 실행하십시오. 백그라운드 프로세스의 경우 위치는 프로세스의 설치된 디렉토리와 일치해야합니다.
나는 그 질문에 적절히 대답하기를 바랍니다. 예, conhost.exe는 합법적이며 위치가 C : \ Windows \ System32 인 한 안전합니다.
더 알고 싶은 다른 Windows 프로세스가 있습니까? 당신이 할 경우 아래에 그들에 대해 알려주십시오 가능한 한 많은 답변을하려고합니다!
