Questão conhost.exe e csrss.exe perguntas


enter image description hereEu atualmente tenho 2 csrss.exe em execução no sistema, usando 1700kb - 2156kb de memória cada. Relacionado a eles parece haver 2 conhost.exes, um usando aproximadamente 1000kb de ram e 1400kb. Um é SYSTEM e um é NETWORK. Eu encontrei 2 csrss.exes no meu sistema, um em system32, um em winsxs / amd64_microsoft (com uma grande quantidade de números) encontrei 1 conhost em system32 e 8 conhosts em winsxs / amd64_microsoft seguido por números como csrss. Isso é normal? Eu também posso ter visto um terceiro em execução, mas eu não acho que foi anexado ao csrss

Usando logs de visualizador de eventos e explorador de processos, encontrei os 2 arquivos conhost sob csrss, foram lançados (no meu teste) às 15:33:52. Ao mesmo tempo, no visualizador de eventos no sistema, o serviço MBAM entrou em um estado em execução. Além disso, o serviço do servidor entrou em um estado em execução. Outros serviços que começaram em torno de um segundo ou dois depois: Serviço de lista de rede Host de serviço de diagnóstico Acesso ao dispositivo de interface humana Inspeção de rede Micrsoft Host do sistema de diagnóstico Enumerador de dispositivo portátil Serviço de navegador do computador Não havia entrada na parte do aplicativo do visualizador de eventos. Sob segurança, às 15:33:52 havia uma entrada para:

Sucesso de auditoria: Uma conta foi autenticada com sucesso.  ID do assunto: null sid (Mais abaixo na mesma entrada)

Novo logon:    ID de segurança: logon anônimo Nome da conta: logon anônimo    Domínio da conta: nt authority

E há várias outras seções dessa entrada. Isso é ruim? Eu encontrei várias dessas entradas de logon anônimas até o dia em que recebi meu pc há um ano, então não acho que seja ruim. Outro pc na casa tem a mesma quantidade de arquivos conhost e csrss.exe no disco rígido (por volta de 8-9, em pastas de instalação do amd64, e o que roda em system32, e os arquivos csrss. O outro pc tinha 2 processos csrss correndo, mas não conhost.) Parece ruim ou está bem? Vou executar algumas varreduras de safemode. (Mbam e mse). As digitalizações estão limpas.

Aqui está uma imagem de quando eu executo a experiência de Geforce, este conhost aparece e desliga muito rapidamente. enter image description here


2


origem


Eu também tenho 2 csrss.exe. Execute o ProcessExplorer (como admin), selecione a linha de comando que é mostrada e poste uma imagem para que eu possa ver a linha de comando dos processos conhost e csrss.exe. - magicandre1981
Qual é exatamente a questão? O que faz você pensar que esses processos são mal-intencionados (eles provavelmente não são) - Ramhound
Bem, em um estágio, vi um processo conhecido aparecer, mas não parecia estar ligado ao CSRSS. Meu palpite era que era a experiência da nvidia geforce como parece quando eu executo um processo conhecido aparece brevemente sem ser anexado ao csrss (mas também não é anexado ao geforce, mas só aparece quando eu o executo). - Keyes
@ magicandre1981 eu farei assim 10 minutos. - Keyes
@ magicandre1981 Eu preciso de 10 reputação para adicionar a imagem, mas eu só tenho 6. Vou fazer? Eu tenho 11 no stackexchange de segurança da informação para que eu possa postá-lo lá. - Keyes


Respostas:


Toda vez que você vê ConHost.exe isso significa que um programa não-GUI está sendo executado. Isso acontece quando você abre o Prompt de Comando ou quando o instalador do aplicativo precisa executar um comando "DOS" padrão como parte da rotina de instalação. É muito normal ter o processo ConHost.exe indo e vindo, e só deve ser motivo de preocupação se você tiver muitas (20-30 +) instâncias por mais de alguns instantes. Além disso, é bastante apropriado observar atividades de início / parada de programas e serviços em conexão com processos ConHost.exe iniciando e parando, pois é nesses momentos no ciclo de vida de um programa que eles frequentemente precisarão interagir com uma interface não gráfica. aplicação.

Se você quiser aprofundar mais, o artigo http://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspx explica a nova adição (como do Windows 7) que é ConHost.exe e o problema que se destina a resolver ::

Nas versões anteriores do Windows [ou seja, anteriores ao Windows 7], toda a atividade da GUI em nome de aplicativos não-GUI executados na área de trabalho (aplicativos de console) era intermediada pelo processo do sistema CSRSS.exe.

Se você sabe muito sobre como o Windows lida com a separação de privilégios entre usuários, você pode ver corretamente uma potencial fraqueza, confirme enquanto o artigo continua:

O problema é que, mesmo que um aplicativo seja executado no contexto de uma conta de usuário comum, o CSRSS.EXE é executado na conta do sistema local. Por isso, em algumas circunstâncias, era possível que o malware explorasse os pontos fracos de um aplicativo para executar o código na conta do sistema local mais privilegiada no CSRSS.EXE.

O Windows 7 alterou permanentemente esse modelo, introduzindo o processo ConHost.exe:

Essa exposição foi abordada no Windows 7 e no Windows Server 2008 R2 executando o código do sistema de mensagens do console no contexto de um novo processo, o ConHost.exe. ConHost (host do console) é executado no mesmo contexto de segurança que seu aplicativo de console associado. Em vez de emitir uma solicitação de LPC para CSRSS para tratamento de mensagens, a solicitação vai para ConHost.

Espero que ajude!

EDITAR:

Duas instâncias do csrss.exe não são anormais. Eu observei isso muitas vezes em computadores conhecidos e limpos. Se vocês não faça tenha duas instâncias em execução, simplesmente inicie o CMD.EXE e você provavelmente terminará com uma segunda instância do csrss.exe hospedando uma instância filha de conhost.exe.

No seu caso, não vejo qualquer evidência de que eles sejam uma razão mal-intencionada para a segunda instância do csrss.exe ou as várias instâncias do conhost.exe.


4



Então, no meu caso, é malicioso? No forum de tomshardware foi-me dito que era um "trojan de vírus direto". (O cara tinha uma fonte terrível, então vim para cá porque as pessoas sabem do que estão falando). Como posso encontrar o serviço associado com o conhost? Quando eu uso o ir para serviços no gerenciador de tarefas eu não consigo encontrar nada - Keyes
A maneira mais útil que encontrei para encontrar o processo (ou serviço) associado a uma instância do ConHost.exe é classificar pela coluna Start Time no Process Explorer e ver qual outro processo iniciou ao mesmo tempo que o ConHost.exe. Não vejo qualquer razão para suspeitar que isso seja um mal-intencionado no seu caso. Eu editei minha resposta de acordo. - Twisty Impersonator