conhost.exe とは何ですか?なぜ実行されるのですか?

重要なポイント

Conhost.exe またはコンソール ホスト ウィンドウ プロセスは、コマンド ラインまたはコマンド プロンプトを使用するアプリケーションを収容する Windows の中核部分です。通常、これは完全に合法的で安全なプロセスです。

この記事を読んでいるあなたは、タスク マネージャーでコンソール ウィンドウ ホスト (conhost.exe) プロセスに遭遇し、それが何なのか疑問に思っているのではないでしょうか。答えは見つかりました。

この記事は、 svchost.exe 、 dwm.exe 、 ctfmon.exe 、 mDNSResponder.exe 、 rundll32.exe など 、タスク マネージャーにあるさまざまなプロセスを説明する 継続的なシリーズ の一部です。それらのサービスが何なのか知りませんか?読み始めたほうがいいよ！

では、コンソール ウィンドウのホスト プロセスである conhost.exe とは何でしょうか?

コンソール ウィンドウのホスト プロセスを理解するには、少しの歴史が必要です。 Windows XP の時代、コマンド プロンプトは ClientServer Runtime System Service (CSRSS) という名前のプロセスによって処理されていました。名前が示すように、CSRSS はシステム レベルのサービスでした。これにより、いくつかの問題が発生しました。まず、CSRSS がクラッシュするとシステム全体がダウンする可能性があり、信頼性の問題だけでなく、セキュリティ上の脆弱性も露呈する可能性があります。 2 番目の問題は、開発者がテーマ コードをシステム プロセスで実行する危険を冒したくなかったため、CSRSS をテーマ化できないことでした。そのため、コマンド プロンプトは新しいインターフェイス要素を使用するのではなく、常にクラシックな外観を保っていました。

以下の Windows XP のスクリーンショットでは、コマンド プロンプトがメモ帳などのアプリと同じスタイルになっていないことに注意してください。

Windows Vista では、 デスクトップ ウィンドウ マネージャー を導入しました。これは、個々のアプリが独自に処理するのではなく、ウィンドウの複合ビューをデスクトップ上に「描画」するサービスです。これにより、コマンド プロンプトは表面的なテーマ (他のウィンドウに存在するガラスのフレームなど) を獲得しましたが、その代償として、ファイルやテキストなどをコマンド プロンプト ウィンドウにドラッグ アンド ドロップできるようになりました。

それでも、このテーマは限界に達しました。 Windows Vista のコンソールを見ると、他のものと同じテーマが使用されているように見えますが、スクロールバーがまだ古いスタイルを使用していることに気づくでしょう。これは、デスクトップ ウィンドウ マネージャーがタイトル バーとフレームの描画を処理しますが、昔ながらの CSRSS ウィンドウが内部に残っているためです。

Windows 7 とコンソール ウィンドウ ホスト プロセスを開始します。名前が示すように、これはコンソール ウィンドウのホスト プロセスです。このプロセスは CSRSS とコマンド プロンプト (cmd.exe) の中間に位置するため、Windows は以前の問題の両方を修正できるようになり、スクロールバーなどのインターフェイス要素が正しく描画され、再びコマンド プロンプトにドラッグ アンド ドロップできるようになります。 。これは Windows 8 および 10 でも引き続き使用されている方法であり、Windows 7 以降に登場したすべての新しいインターフェイス要素とスタイルを使用できます。

タスク マネージャーはコンソール ウィンドウ ホストを別個のエンティティとして表示しますが、それでも CSRSS と密接に関連付けられています。 Process Explorer で conhost.exe プロセスをチェックアウトすると、実際には csrss.ese プロセスの下で実行されていることがわかります。

結局のところ、コンソール ウィンドウ ホストは、CSRSS などのシステム レベルのサービスを実行する能力を維持しながら、最新のインターフェイス要素を統合する機能を安全かつ確実に付与するシェルのようなものです。

コンソール ウィンドウのホスト プロセスのインスタンスが複数実行されているのはなぜですか?

タスク マネージャーでは、コンソール ウィンドウ ホスト プロセスの複数のインスタンスが実行されていることがよくあります。実行中のコマンド プロンプトの各インスタンスは、独自のコンソール ウィンドウ ホスト プロセスを生成します。さらに、コマンド ラインを使用する他のアプリは、アクティブなウィンドウが表示されない場合でも、独自のコンソール Windows ホスト プロセスを生成します。この良い例は、バックグラウンド アプリとして実行され、コマンド ラインを使用してネットワーク上の他のデバイスで利用できるようにする Plex Media Server アプリです。

多くのバックグラウンド アプリはこのように動作するため、コンソール ウィンドウ ホスト プロセスの複数のインスタンスが同時に実行されることは珍しくありません。これは正常な動作です。ほとんどの場合、各プロセスは、プロセスがアクティブでない限り、メモリをほとんど消費せず (通常は 10 MB 未満)、CPU をほぼゼロにします。

Conhost.exe が CPU とディスクを大量に使用するのはなぜですか?

コンソール ウィンドウ ホストの特定のインスタンス (または関連サービス) が、過剰な CPU や RAM の使用量が継続的に発生するなどの問題を引き起こしていることに気付いた場合は、関係している特定のアプリをチェックインするとよいでしょう。これにより、少なくともトラブルシューティングをどこから始めればよいかがわかるかもしれません。残念ながら、タスク マネージャー自体はこれに関する適切な情報を提供しません。

良いニュースは、Microsoft が Sysinternals ラインナップの一部として、プロセスを操作するための優れた高度なツールを提供していることです。 Process Explorer をダウンロードして実行するだけです。これは ポータブル アプリ なので、インストールする必要はありません。 Process Explorer はあらゆる種類の高度な機能を提供します。詳細については、 を読むことを強くお勧めします。

Process Explorer でこれらのプロセスを追跡する最も簡単な方法は、まず Ctrl+F を押して検索を開始することです。 「conhost」を検索し、結果をクリックします。これを実行すると、メイン ウィンドウが変化し、コンソール ウィンドウ ホストの特定のインスタンスに関連付けられたアプリ (またはサービス) が表示されます。

CPU または RAM の使用率から、これが問題の原因となっているインスタンスであることが判明した場合は、少なくとも特定のアプリに問題が絞り込まれています。

Conhost.exe プロセスはウイルスである可能性がありますか?

プロセス自体は公式の Windows コンポーネントです。ウイルスが実際のコンソール ウィンドウ ホストを独自の実行可能ファイルに置き換えた可能性はありますが、その可能性は低いです。確実にしたい場合は、プロセスの基礎となるファイルの場所をチェックアウトしてください。タスク マネージャーで、コンソール ウィンドウのホスト プロセスを右クリックし、[ファイルの場所を開く] オプションを選択します。

ファイルが保存されている場合は、

 Windows\System32

フォルダにある場合は、ウイルスに感染していないことをかなり確信で​​きます。

実際、コンソール ウィンドウのホスト プロセスを装う Conhost Miner という名前のトロイの木馬が存在します。タスク マネージャーでは、実際のプロセスと同じように表示されますが、少し調べてみると、実際には次の場所に保存されていることがわかります。

 %userprofile%\AppData\Roaming\Microsoft

フォルダーではなく、

 Windows\System32

フォルダ。このトロイの木馬は、実際には PC をハイジャックしてビットコインをマイニングするために使用されます。そのため、このトロイの木馬がシステムにインストールされている場合に気づくその他の動作は、メモリ使用量が予想よりも高く、CPU 使用率が非常に高いレベル (多くの場合、1 を超える) で維持されることです。 80%）。

もちろん、Conhost Miner のようなマルウェアを防ぐ ( および削除する ) には、 を使用することが最善の方法であり、とにかく実行する必要があります。転ばぬ先の杖！