那些遇到过的问题

conhost.exe 和 csrss.exe 问题

Key*_*yes 3 windows-7

在此输入图像描述我目前有2个csrss.exe在系统下运行,每个使用1700kb - 2156kb内存。与它们相关的似乎有 2 个 conhost.exe,其中一个使用大约 1000kb 内存,另一个使用 1400kb。一种是系统,一种是网络。我在我的系统中发现了2个csrss.exe,一个在system32中,一个在winsxs/amd64_microsoft中(有大量数字)我在system32中发现了1个conhost,在winsxs/amd64_microsoft中发现了8个conhost,后面跟有数字,如csrss。这是正常的吗?我也可能看到第三个 conhost 正在运行,但我不认为它附加到 csrss

使用事件查看器日志和进程资源管理器,我发现 csrss 下的 2 个 conhost 文件是在 15:33:52 启动的(在我的测试中)。同时,在系统下的事件查看器中,MBAM服务进入运行状态。此外,服务器服务进入运行状态。大约一两秒后启动的其他服务: 网络列表服务 诊断服务主机 人机界面设备访问 Microsoft 网络检查 诊断系统主机 便携式设备枚举器 计算机浏览器服务 事件查看器的应用程序部分中没有条目。在安检下,15:33:52 有一个条目:

审核成功:账号登录成功。主题 ID:null sid(同一条目的下方)

新登录: 安全 ID:匿名登录 帐户名:匿名登录 帐户域:nt 权限

该条目还有其他几个部分。这很糟糕吗?早在一年前我拿到电脑的那天,我就发现了一些匿名登录条目,所以我认为这还不错。家里的另一台电脑的硬盘上有相同数量的 conhost 和 csrss.exe 文件(大约 8-9 个,在 amd64 安装文件夹中,以及在 system32 下运行的电脑和 csrss 文件。另一台电脑有 2 个 csrss 进程正在运行但没有 conhost。)它看起来是坏还是好?我将运行一些安全模式扫描。(Mbam 和 MSE)。扫描结果已经干净了。

这是我运行 Geforce experience 时的图像,该 conhost 出现并很快关闭。 在此输入图像描述

I s*_*ica 5

任何时候您看到 ConHost.exe 都意味着正在执行非 GUI 程序。当您打开命令提示符或应用程序安装程序需要运行标准“DOS”命令作为安装例程的一部分时,就会发生这种情况。ConHost.exe 进程来来去去是很正常的,只有当您有许多(20-30+)实例且持续时间超过一段时间时才应该引起关注。此外,您可以观察与 ConHost.exe 进程启动和停止相关的程序和服务启动/停止活动,因为在程序生命周期的这些时候,它们经常需要与非 GUI 应用程序交互。

\n\n

如果您想更深入地了解,请参阅文章http://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspx解释了新添加的内容(从 Windows 7 开始)ConHost.exe 及其要解决的问题:

\n\n
\n

在以前的 Windows 版本中(即 Windows 7 之前的版本),代表在桌面上运行的非 GUI 应用程序(控制台应用程序)的所有 GUI 活动均由系统进程 CSRSS.exe 代理。

\n
\n\n

如果您非常了解 Windows 如何处理用户之间的权限分离,您可能会正确地看到潜在的弱点,请在本文继续时确认:

\n\n
\n

这样做的问题是,即使应用程序在常规用户\xe2\x80\x99s 帐户的上下文中运行,CSRSS.EXE 也会在本地系统帐户下运行。因此,在某些情况下,恶意软件可能会利用应用程序中的弱点,以便在 CSRSS.EXE 中具有更高特权的本地系统帐户下执行代码。

\n
\n\n

Windows 7 通过引入 ConHost.exe 进程永久改变了该模型:

\n\n
\n

此漏洞已在 Windows 7 和 Windows Server 2008 R2 中通过在新进程 ConHost.exe 的上下文中运行控制台消息传递代码得到解决。ConHost(控制台主机)与其关联的控制台应用程序在相同的安全上下文中运行。该请求不是向 CSRSS 发出 LPC 请求以进行消息处理,而是发送至 ConHost。

\n
\n\n

希望有帮助!

\n\n

编辑:

\n\n

两个csrss.exe实例都没有异常。我在已知干净的计算机上多次观察到这种情况。如果您没有运行两个实例,只需启动 CMD.EXE,您可能最终会得到托管 conhost.exe 子实例的 csrss.exe 的第二个实例。

\n\n

在您的情况下,我没有看到任何证据表明它们是 csrss.exe 的第二个实例或 conhost.exe 的多个实例的恶意原因。

\n

归档时间:

查看次数:

10795 次

最近记录:

10 年,8 月 前
相关归档
如何找出我的域用户属于哪些用户组? 67
如何仅使用 Win + R 窗口以管理员身份打开记事本? 27
如何恢复 Windows 7 中所有最小化的窗口 20
从 Windows PC 到支持 DLNA 的电视的实时截屏 - 可能吗? 11
网络 (Wi-Fi) 图标延迟启动 7
PC 从 BIOS 到操作系统运行缓慢,就像糖蜜一样 6
是否可以在 LAN 中使用仅支持 IPv4 的路由器的 IPv6? 5
在 Windows 7 中查找单字母文件扩展名的高级搜索查询 3
如何修复此 CheckSUR.log 文件中列出的错误? 3
如何从 Windows 7 开始菜单以管理员身份启动应用程序 1
难疑归档
电脑如何自行重启? 502
无需注销即可重新加载 Linux 用户的组分配 468
如何从 URL 栏中的 Chrome 记住的 URL 中删除条目? 399
如何在 Windows 中找到可执行文件的位置? 273
如何使用“apt-get”重新安装软件包? 232
Windows 10 - 在重新启动/启动后禁用重新打开程序 221
如何在 Windows 上的 Ubuntu 上从 Bash 访问 Windows 文件夹 179
对“系统”进程的 CPU 使用率高进行故障排除 172
VirtualBox 使用双显示器 115
在 Notepad++ 中禁用自动更新 103