日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

conhost.exe是什么進(jìn)程

云知道conhost.exe

conhost.exe是什么進(jìn)程

conhost.exe是什么進(jìn)程


以RedmiBook 14,win7為例 , Conhost.exe進(jìn)程是微軟為其Vista以及Win7、Windows 2008(服務(wù)器版)系統(tǒng)定義的系統(tǒng)文件,在系統(tǒng)中被稱為“控制臺(tái)窗口主機(jī)” 。其功能主要是為命令行程序(cmd.exe)提供類似于Csrss.exe進(jìn)程的圖形子系統(tǒng)等功能支持,而之前在Windows XP系統(tǒng)中Conhost.exe的這一功能是由Csrss.exe進(jìn)程“兼職”提供的,但這被認(rèn)為存在不安全因素,于是微軟為了提高系統(tǒng)安全性在06年之后發(fā)布的Vista和Win7等系統(tǒng)中新加入Conhost.exe進(jìn)程 。
conhost.exe 這個(gè)進(jìn)程能禁用不能 。conhost.exe全稱是console host process, 即命令行程序的宿主進(jìn)程 。簡(jiǎn)單的說(shuō)它是微軟出于安全考慮 , 在windows 7和Windows server 2008中引進(jìn)的新的控制臺(tái)應(yīng)用程序處理機(jī)制 。
conhost.exe是什么進(jìn)程不是病毒···conhost全稱是console host process, 即命令行程序的宿主進(jìn)程. 大家都知道命令行程序是什么東西吧, 比如ipconfig.exe之類, 由于命令行程序自身沒(méi)有代碼來(lái)顯示UI, 我們平時(shí)看到的命令行窗口內(nèi)容都是由宿主進(jìn)程來(lái)完成的,包括窗口的顯示, window message的處理,等等.
conhost.exe是什么進(jìn)程【conhost.exe是什么進(jìn)程】conhost的全稱是console host process, 即命令行程序的宿主進(jìn)程 。簡(jiǎn)單的說(shuō)是出于安全考慮,在windows 7和Windows server 2008中引進(jìn)的新的控制臺(tái)應(yīng)用程序處理機(jī)制 。
原先,windows 7之前的宿主程序是由csrss.exe來(lái)完成的, 所有命令行進(jìn)程都使用session唯一的csrss.exe進(jìn)程. 而到了win7則改稱每個(gè)命令行進(jìn)程都有一個(gè)獨(dú)立的conhost作為宿主 。這樣當(dāng)然有很多好處了,比如各進(jìn)程之前不會(huì)相互影響 , 也不會(huì)影響到csrss,畢竟csrss還有其他更重要的任務(wù)要做 。當(dāng)然最最重要的還是安全性的考慮 , 因?yàn)閏srss是運(yùn)行在local system賬號(hào)下的,如果要處理window message,就要承擔(dān)很多威脅,比如著名的window message shatter attack 。而如果用用戶權(quán)限的conhost來(lái)處理,則即使有攻擊,影響的也只是低權(quán)限的宿主進(jìn)程 。
其實(shí),不論是作為普通用戶還是企業(yè)管理員,我們?cè)谌粘5腤indows應(yīng)用和運(yùn)維過(guò)程中都會(huì)或多或少的使用到控制臺(tái)應(yīng)用程序 ??刂婆_(tái)應(yīng)用程序是沒(méi)有用戶界面的 , 我們需要通過(guò)命令提示符(CMD,這可不是DOS , 很多人混淆不清)對(duì)其進(jìn)行輸入、輸出操作 。Windows自帶的控制臺(tái)應(yīng)用程序,典型的有cmd.exe、nslookup.exe和telnet.exe等 。
在早期的Windows版本中,所有代表非GUI活動(dòng)的應(yīng)用程序(即控制臺(tái)應(yīng)用程序)要在桌面上運(yùn)行時(shí) , 都通過(guò)系統(tǒng)進(jìn)程Csrss.exe進(jìn)行協(xié)調(diào) 。當(dāng)控制臺(tái)應(yīng)用程序需要接收字符時(shí) , 會(huì)在Kernel32.dll中調(diào)用一個(gè)小型的“控制臺(tái)APIs”以讓Kernel32產(chǎn)生LPC來(lái)調(diào)用CSRSS 。此時(shí)CSRSS會(huì)對(duì)控制臺(tái)窗口的輸入隊(duì)列進(jìn)行檢查和校驗(yàn),并將字符模式的結(jié)果通過(guò)Kernel32返回給控制臺(tái)應(yīng)用程序進(jìn)行關(guān)聯(lián) 。
這樣的處理機(jī)制就已經(jīng)產(chǎn)生了一個(gè)問(wèn)題:即使一個(gè)控制臺(tái)應(yīng)用程序在普通用戶的上下文環(huán)境中執(zhí)行 , 但Csrss.exe始終是運(yùn)行在本地系統(tǒng)賬戶權(quán)限下的 。因此,某些情況下“壞人”開發(fā)的惡意軟件就有可能通過(guò)本地系統(tǒng)賬戶權(quán)限執(zhí)行的Csrss.exe獲取到更多特權(quán) 。這種攻擊模式被稱為Shatter Attack 。而到了win7和Windows Server 2008 R2時(shí)代,所有控制臺(tái)應(yīng)用程序都被放到了一個(gè)新的上下文進(jìn)程ConHost.exe中來(lái)執(zhí)行,而ConHost(控制臺(tái)主機(jī))與控制臺(tái)程序運(yùn)行在相同安全級(jí)的上下文環(huán)境當(dāng)中,取代了發(fā)出LPC消息請(qǐng)求到CSRSS中進(jìn)行處理這種機(jī)制,而是去請(qǐng)求ConHost 。因此,任何應(yīng)用程序企圖利用消息請(qǐng)求來(lái)導(dǎo)致特權(quán)的自動(dòng)提升都不會(huì)成功 。

    推薦閱讀