현재 시스템에서 각각 1700kb - 2156kb 메모리를 사용하는 2개의 csrss.exe를 실행하고 있습니다. 그들과 관련하여 2개의 conhost.exe가 있는 것 같습니다. 하나는 대략 1000kb 램과 1400kb를 사용합니다. 하나는 시스템이고 하나는 네트워크입니다. 내 시스템에서 2개의 csrss.exe를 찾았습니다. 하나는 system32에서, 하나는 Winsxs/amd64_microsoft에서(많은 양의 숫자 포함) system32에서 1개의 conhost를 발견했고, Winsxs/amd64_microsoft에서 8개의 Conhost를 찾았으며 그 뒤에 csrss와 같은 숫자가 붙었습니다. 이게 정상인가요? 또한 세 번째 conhost가 실행되는 것을 본 적이 있지만 csrss에 첨부된 것 같지는 않습니다.
이벤트 뷰어 로그와 프로세스 탐색기를 사용하여 csrss 아래에 2개의 conhost 파일이 15:33:52에 시작되었음을 발견했습니다(내 테스트에서). 동시에 시스템의 이벤트 뷰어에서 MBAMservice가 실행 상태로 들어갔습니다. 또한 서버 서비스가 실행 상태로 들어갔습니다. 1~2초 정도 후에 시작된 다른 서비스: 네트워크 목록 서비스 진단 서비스 호스트 휴먼 인터페이스 장치 액세스 Micrsoft 네트워크 검사 진단 시스템 호스트 휴대용 장치 열거자 컴퓨터 브라우저 서비스 이벤트 뷰어의 응용 프로그램 부분에 항목이 없습니다. 보안 하에 15:33:52에 다음 항목이 입력되었습니다.
감사 성공: 계정이 성공적으로 로그온되었습니다. 제목 ID: null sid(동일 항목에 대해 더 자세히 설명)
새 로그온: 보안 ID: 익명 로그온 계정 이름: 익명 로그온 계정 도메인: nt Authority
그리고 해당 항목에는 몇 가지 섹션이 더 있습니다. 이게 나쁜가요? 나는 1년 전 내 PC를 구입한 날까지 거슬러 올라가는 익명 로그온 항목 중 몇 개를 발견했기 때문에 그것이 나쁘다고 생각하지 않습니다. 집에 있는 또 다른 PC에는 hdd에 동일한 양의 conhost 및 csrss.exe 파일이 있습니다(amd64 설치 폴더에 약 8-9개, system32에서 실행되는 파일 및 csrss 파일. 다른 PC에는 2개의 csrss 프로세스가 있습니다). 실행 중이지만 conhost는 없습니다. ) 상태가 좋지 않은가요? 몇 가지 안전 모드 검사를 실행하겠습니다. (Mbam 및 mse). 스캔 결과가 깨끗해졌습니다.
다음은 Geforce 경험을 실행할 때 이 conhost가 나타났다가 매우 빠르게 종료되는 이미지입니다.
답변1
ConHost.exe가 표시될 때마다 이는 GUI가 아닌 프로그램이 실행되고 있음을 의미합니다. 이는 명령 프롬프트를 열거나 응용 프로그램 설치 프로그램이 설치 루틴의 일부로 표준 "DOS" 명령을 실행해야 할 때 발생합니다. ConHost.exe 프로세스가 왔다 갔다 하는 것은 매우 정상적인 현상이며, 몇 분 이상 동안 많은(20~30+) 인스턴스가 있는 경우에만 문제가 될 수 있습니다. 또한 ConHost.exe 프로세스 시작 및 중지와 관련하여 프로그램 및 서비스 시작/중지 활동을 관찰하는 것이 매우 적절합니다. 프로그램 수명 주기 중 이러한 시점은 GUI가 아닌 프로세스와 상호 작용해야 하는 경우가 많기 때문입니다. 애플리케이션.
더 자세히 알아보고 싶다면 해당 기사를 참조하세요.http://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspxConHost.exe라는 새로운 추가 사항(Windows 7 기준)과 이것이 해결하려는 문제에 대해 설명합니다.
이전 버전의 Windows[즉, Windows 7 이전]에서는 데스크톱에서 실행되는 비 GUI 응용 프로그램(콘솔 응용 프로그램)을 대신하는 모든 GUI 활동이 시스템 프로세스 CSRSS.exe에 의해 중개되었습니다.
Windows가 사용자 간의 권한 분리를 처리하는 방법에 대해 많이 알고 있다면 잠재적인 약점을 올바르게 볼 수 있습니다. 기사가 계속되면서 확인하십시오.
이에 대한 문제는 응용 프로그램이 일반 사용자 계정의 컨텍스트에서 실행되더라도 CSRSS.EXE가 로컬 시스템 계정에서 실행된다는 것입니다. 따라서 특정 상황에서는 맬웨어가 CSRSS.EXE의 권한이 더 높은 로컬 시스템 계정에서 코드를 실행하기 위해 응용 프로그램의 약점을 악용하는 것이 가능했습니다.
Windows 7에서는 ConHost.exe 프로세스를 도입하여 해당 모델을 영구적으로 변경했습니다.
이 노출은 Windows 7 및 Windows Server 2008 R2에서 새 프로세스인 ConHost.exe의 컨텍스트에서 콘솔 메시징 코드를 실행하여 해결되었습니다. ConHost(콘솔 호스트)는 연결된 콘솔 애플리케이션과 동일한 보안 컨텍스트에서 실행됩니다. 메시지 처리를 위해 CSRSS에 LPC 요청을 보내는 대신 요청은 ConHost로 이동합니다.
도움이 되었기를 바랍니다!
편집하다:
csrss.exe의 두 인스턴스는 비정상이 아닙니다. 나는 깨끗한 것으로 알려진 컴퓨터에서 이것을 여러 번 관찰했습니다. 만약 너라면~하지 않다두 개의 인스턴스가 실행 중이라면 CMD.EXE를 시작하기만 하면 conhost.exe의 하위 인스턴스를 호스팅하는 csrss.exe의 두 번째 인스턴스가 생성될 가능성이 높습니다.
귀하의 경우에는 csrss.exe의 두 번째 인스턴스 또는 conhost.exe의 여러 인스턴스에 대한 악의적인 이유라는 증거가 없습니다.