conhost.exe e csrss.exe perguntas

2

Atualmentetenho2csrss.exeemexecuçãonosistema,usando1700kb-2156kbdememóriacada.Relacionadoaelesparecehaver2conhost.exes,umusandoaproximadamente1000kbderame1400kb.UméSYSTEMeuméNETWORK.Euencontrei2csrss.exesnomeusistema,umemsystem32,umemwinsxs/amd64_microsoft(comumagrandequantidadedenúmeros)encontrei1conhostemsystem32e8conhostsemwinsxs/amd64_microsoftseguidopornúmeroscomocsrss.Issoénormal?Eutambémpossotervistoumterceiroemexecução,maseunãoachoquefoianexadoaocsrss

usandooslogsdovisualizadordeeventoseoexploradordeprocessos,encontreios2arquivosconhostdocsrss,queforamlançados(nomeuteste)às15:33:52.Aomesmotempo,novisualizadordeeventosnosistema,oserviçoMBAMentrouemumestadoemexecução.Alémdisso,oserviçodoservidorentrouemumestadoemexecução.Outrosserviçosquecomeçaramemtornodeumsegundooudoisdepois:ServiçodelistaderedeHostdeserviçodediagnósticoAcessoaodispositivodeinterfacehumanaInspeçãoderedeMicrsoftHostdosistemadediagnósticoEnumeradordedispositivoportátilServiçodenavegadordocomputadorNãohaviaentradanapartedoaplicativodovisualizadordeeventos.Sobsegurança,às15:33:52haviaumaentradapara:

Sucessodeauditoria:Umacontafoiautenticadacomsucesso. IDdoassunto:nullsid(Maisabaixonamesmaentrada)

Novologon:   IDdesegurança:logonanônimoNomedaconta:logonanônimo   Domíniodaconta:ntauthority

Eháváriasoutrasseçõesdessaentrada.Issoéruim?Euencontreiváriasdessasentradasdelogonanônimasatéodiaemquerecebimeupcháumano,entãonãoachoquesejaruim.Outropcnacasatemamesmaquantidadedearquivosconhostecsrss.exenodiscorígido(porvoltade8-9,empastasdeinstalaçãodoamd64,eoquerodaemsystem32,eosarquivoscsrss.Ooutropctinha2processoscsrsscorrendo,masnãoconhost.)Pareceruimouestábem?Vouexecutaralgumasvarredurasdesafemode.(Mbamemse).Asvarredurasforamlimpas.

aquiestáumaimagemdequandoeuexecutoaexperiênciadeGeforce,esseconhostapareceedesligamuitorapidamente.

    
por Keyes 30.07.2014 / 19:56

1 resposta

4

Toda vez que você vê ConHost.exe, significa que um programa não-GUI está sendo executado. Isso acontece quando você abre o Prompt de Comando ou quando o instalador do aplicativo precisa executar um comando "DOS" padrão como parte da rotina de instalação. É muito normal ter o processo ConHost.exe indo e vindo, e só deve ser motivo de preocupação se você tiver muitas (20-30 +) instâncias por mais de alguns instantes. Além disso, é bastante apropriado observar atividades de início / parada de programas e serviços em conexão com processos ConHost.exe iniciando e parando, pois é nesses momentos no ciclo de vida de um programa que eles frequentemente precisarão interagir com uma interface não gráfica. aplicação.

Se você deseja aprofundar mais, o artigo link explica a nova adição (como do Windows 7) que é o ConHost.exe e o problema que ele deve resolver ::

In previous versions of Windows [that is, prior to Windows 7], all GUI activity on behalf of non-GUI applications that ran on the desktop (console applications) was brokered by the system process CSRSS.exe.

Se você sabe muito sobre como o Windows lida com a separação de privilégios entre usuários, você pode ver corretamente uma potencial fraqueza, confirme enquanto o artigo continua:

The problem with this was that even if an application ran in the context of a regular user’s account, CSRSS.EXE runs under the Local System account. So it was possible under certain circumstances for malware to exploit weaknesses in an application in order to execute code under the more privileged Local System account in CSRSS.EXE.

O Windows 7 alterou permanentemente esse modelo, introduzindo o processo ConHost.exe:

This exposure was addressed in Windows 7 and Windows Server 2008 R2 by running the console messaging code in the context of a new process, ConHost.exe. ConHost (Console Host) runs in the same security context as its associated console application. Instead of issuing an LPC request to CSRSS for message-handling, the request goes to ConHost.

Espero que ajude!

EDITAR:

Duas instâncias do csrss.exe não são anormais. Eu observei isso muitas vezes em computadores conhecidos e limpos. Se você não tiver duas instâncias em execução, basta iniciar o CMD.EXE e você provavelmente terminará com uma segunda instância do csrss.exe hospedando uma instância filha de conhost.exe.

No seu caso, não vejo qualquer evidência de que eles sejam um motivo mal-intencionado para a segunda instância do csrss.exe ou as várias instâncias do conhost.exe.

    
por 30.07.2014 / 23:07

Tags