conhost.exe и csrss.exe вопросы

Question

В настоящее время у меня есть 2 csrss.exe, работающие под системой, используя 1700kb - 2156kb памяти каждый. Похоже, что с ними связано 2 conhost.exes, один из которых использует приблизительно 1000 КБ ОЗУ и 1400 КБ. Один - это СИСТЕМА, а другой - СЕТЬ. Я нашел 2 csrss.exes в моей системе, один в system32, один в winsxs/amd64_microsoft (с большим количеством чисел), я нашел 1 conhost в system32, и 8 conhosts в winsxs/amd64_microsoft, за которыми следуют числа типа csrss. Это нормально? Я также, возможно, видел третий работающий conhost, но я не думаю, что он был подключен к csrss

используя журналы просмотра событий и проводник процессов, я нашел 2 файла conhost в csrss, которые были запущены (в моем тесте) в 15:33:52. В то же время в средстве просмотра событий системы MBAMservice перешел в рабочее состояние. Также служба сервера перешла в рабочее состояние. Другие службы, которые запускались примерно через секунду или две после: Служба списка сетей. Узел службы диагностики. Доступ к устройству с интерфейсом пользователя. Проверка сети Micrsoft. Узел системы диагностики. Перечислитель переносных устройств. Служба обозревателя компьютеров. В прикладной части средства просмотра событий не было записей. Под охраной в 15:33:52 была запись для:

Успешный аудит: учетная запись успешно вошла в систему. Идентификатор субъекта: ноль sid (далее на той же записи)

Новый вход в систему: идентификатор безопасности: анонимный вход Имя учетной записи: анонимный вход Домен учетной записи: nt полномочия

И есть еще несколько разделов этой записи. Это плохо? Я нашел несколько таких анонимных записей о входе в систему еще в тот день, когда я получил свой компьютер год назад, так что я не думаю, что это плохо. У другого компьютера в доме есть такое же количество файлов conhost и csrss.exe на жестком диске (около 8-9, в папках установки amd64, и тот, который работает под system32, и файлы csrss. На другом ПК было запущено 2 процесса csrss, но нет conhost. ) Это выглядит плохо или хорошо? Я собираюсь запустить сканирование в безопасном режиме. (Мбам и мсе). Сканы были чистыми.

Вот изображение того, когда я запускаю Geforce, этот призрак появляется и очень быстро отключается.

Answer 1

Каждый раз, когда вы видите ConHost.exe, это означает, что выполняется не-GUI программа. Это происходит, когда вы открываете командную строку или когда установщик приложения должен выполнить стандартную команду "DOS" как часть процедуры установки. Это нормально, когда процесс ConHost.exe приходит и уходит, и должен вызывать беспокойство только в том случае, если у вас много (20-30+) экземпляров в течение более чем нескольких минут. Кроме того, вполне нормально, что вы наблюдаете за запуском / остановкой программ и служб в связи с запуском и остановкой процессов ConHost.exe, поскольку именно в эти моменты жизненного цикла программы им часто приходится взаимодействовать с не-GUI-интерфейсом. приложение.

Если вы хотите углубиться в тему, статья http://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspx объясняет новое дополнение (начиная с Windows 7), которое называется ConHost.exe, и проблему, которую оно призвано решить:

В предыдущих версиях Windows [то есть до Windows 7] вся работа с пользовательским интерфейсом от имени не графических приложений, запускаемых на рабочем столе (консольных приложений), выполнялась системным процессом CSRSS.exe.

Если вы много знаете о том, как Windows обрабатывает разделение прав доступа между пользователями, вы можете правильно увидеть потенциальную слабость, подтвердите, как продолжает статью:

Проблема в том, что даже если приложение запускалось в контексте учетной записи обычного пользователя, CSRSS.EXE запускается под учетной записью локальной системы. Таким образом, при определенных обстоятельствах вредоносное ПО могло использовать уязвимости в приложении для выполнения кода под более привилегированной учетной записью локальной системы в CSRSS.EXE.

Windows 7 навсегда изменила эту модель, введя процесс ConHost.exe:

Эта проблема была устранена в Windows 7 и Windows Server 2008 R2 путем запуска кода обмена сообщениями консоли в контексте нового процесса ConHost.exe. ConHost (Console Host) работает в том же контексте безопасности, что и соответствующее консольное приложение. Вместо того, чтобы выдавать запрос LPC в CSRSS для обработки сообщений, запрос отправляется в ConHost.

Надеюсь, это поможет!

РЕДАКТИРОВАТЬ:

Два экземпляра csrss.exe не являются ненормальными. Я наблюдал это много раз на известных чистых компьютерах. Если у вас не запущены два экземпляра, просто запустите CMD.EXE, и вы, скорее всего, получите второй экземпляр csrss.exe, на котором размещен дочерний экземпляр conhost.exe.

В вашем случае я не вижу доказательств того, что они являются вредоносной причиной для второго экземпляра csrss.exe или нескольких экземпляров conhost.exe.