Quem é o Processo Hospedeiro para Janela do Console e o motivo para sua constante execução

É bem provável ter chegado aqui depois de uma breve pesquisa na internet, buscando saber quem é esse Processo Hospedeiro para Janela de Console (conhost.exe), encontrando dois ou mais deles no Gerenciador de tarefas despertando a curiosidade sobre o que é, seja bem-vindo enquanto conhece mais sobre esse componente e seus motivos para estar sempre em execução. [daqui]

Enfim, quem é o Processo Hospedeiro para Janela de Console ?!

A compreensão sobre o Processo Hospedeiro para Janela de Console necessita de uma pequena história, regredindo à época do Windows XP onde o prompt de comando era gerenciado através do processo denominado Subsistema de Tempo de Execução Cliente/Servidor (CSRSS – Client/Server Runtime System Service) de maneira mais detalhada [ clicando aqui ], como indicado pelo nome o csrss.exe sendo um serviço de nível de sistema, representou alguns problemas como a queda de todo o sistema numa falha no processo csrss.exe, expondo além de problemas de confiabilidade possíveis vulnerabilidades de segurança. Outra condição era a impossibilidade de utilizar temas no CSRSS pelos desenvolvedores não pretenderem arriscar o código desses temas para serem executados num processo do sistema, obrigando a janela do prompt de comando em permanecer na mesma aparência clássica ao invés de poder receber alguma personalização.

Observe na imagem abaixo onde o Bloco de Notas possui uma aparência mais sofisticada, enquanto o Prompt de Comando mantém um ambiente mais conservador sem qualquer efeito gráfico (tema).

Pelo Windows Vista foi introduzido o Gerenciador de Janelas da Área de Trabalho podendo conhecer um pouco mais [ clicando aqui ], definido como um serviço que “desenha janelas” em sua área de trabalho invés de permitir a cada aplicativo cuidar dessa função de maneira individual. Isso permitiu ao Prompt de Comando receber alguns temas mesmo que superficiais tal como a moldura vítrea presente em outras janelas, entretanto perdeu a capacidade de arrastar e soltar arquivos, texto entre outras utilidades através da janela do Prompt de Comando.

No final ele acabou como uma mescla entre a novidade e o tradicional, utilizando o tema utilizado na área de trabalho enquanto as barras de rolagem permanecem no desenho tradicional, condição que pode ser explicado pelo Gerenciador de Janelas lidar com o desenho das barras de título e quado, enquanto uma antiquada janela CSRSS permanece internamente.

Siga para o Windows 7 onde o Processo Hospedeiro para Janela de Console é definitivamente o que diz ser, ficando entre o CSRSS e o Prompt de Comando (cmd.exe) então permitindo ao Windows resolver os dois problemas anteriores, onde os elementos do ambiente como as barras de rolagem sejam desenhados corretamente enquanto pode-se voltar a arrastar e soltar no Prompt de Comando. Condição mantida nas versões do Windows 8 e 10, preservando esses novos elementos de ambiente e estilo surgidos a partir do Windows 7.

Embora o Gerenciador de Tarefas apresente o Processo Hospedeiro para Janela de Console como uma entidade separada, ele ainda está intimamente associado ao CSRSS. Se você procurar pelo processo conhost.exe utilizando o aplicativo Process Explorer, poderá visualizar ele realmente sendo executado vinculado ao processo csrss.ese.

De maneira geral o Processo Hospedeiro para Janela do Console é similar a um shell (ambiente texto), mantendo a capacidade para executar um serviço de nível de sistema como o CSRSS, enquanto garante a capacidade de integração segura e confiável nos elementos de interface modernos.

Várias instâncias em execução representam problemas !?

Através do Gerenciador de Tarefas, pode ser exibida várias instâncias do processo hospedeiro para janela do console. Para cada instância em execução do prompt de comando, um processo próprio de hospedeiro para janela do console será gerado. Da mesma maneira, outros aplicativos que utilizam linha de comando vão gerar seu próprio processo hospedeiro para janela do console, ainda que possa não visualizar uma janela ativa para eles. A aplicação Plex Media Server pode ser citada como exemplo, sendo executando como um aplicativo em segundo plano utilizando a linha de comando para permanecer disponível a outros dispositivos em sua rede.

Por conta de muitos aplicativos funcionarem dessa maneira em segundo plano, não é incomum visualizar várias instâncias do processo hospedeiro de janela do console em execução a qualquer momento. Considerando um comportamento normal, em maior parte cada processo deve consumir pouca memória, algo em torno de 10 megabytes enquanto o consumo do processador (CPU) fica próximo de 0%, exceto quando um processo estiver ativo.

Investigando instabilidades através de um pequeno diagnóstico:

Agora conhecendo um pouco mais, ao presenciar alguma instabilidade (ou processo) em execução pelo conhost.exe como uso exagerado ou contínuo da CPU ou memória RAM senão a um serviço relacionado, é possível investigar quais aplicativos podem estar envolvidos nessa oscilação. Essa atividade permite ao menos dar uma ideia por onde começar na busca pela solução de problemas. Por outro lado pela relativa limitação de interações pelo Gerenciador de Tarefas, a mesma Microsoft disponibiliza excelente ferramenta avançada para interagir com processos, sendo a suíte de aplicativos da Sysinternals. Em destaque obtenha apenas o programa Process Explorer lembrando que deve ser executado em modo administrador, tendo ainda o benefício de ser um aplicativo portátil (não requer instalação). O Process Explorer oferece inúmeros tipos de recursos avançados e surgindo algumas dúvidas basta uma rápida busca na internet (ou na própria página do programa) para entender melhor suas funcionalidades.

Com o Process Explorer em execução, pode-se rastrear rapidamente um processo (ou instância) suspeito através das teclas crtl+F. Aberta a janela de busca por “conhost” e consulte os resultados. Ao clicar num deles, a janela principal será alterada para exibir o aplicativo (ou serviço) vinculado a essa instância específica do hospedeiro da janela do console.

Ao consultar o uso da RAM ou CPU enquanto analisa essa instância e desconfiar dela ser a provável responsável por problemas, consegue confirmar tratar-se ou não de um aplicativo específico e isolado.

Este processo pode ser contaminado ou tratar-se de um vírus !?

Mesmo sendo um componente oficial e legítimo do Windows, embora improvável ainda existe a possibilidade do executável ser comprometido ou substituído mas será necessário uma imensa habilidade para conseguir superar as camadas de proteção para isso. Uma maneira para verificar sua legitimidade é confirmar a localização do arquivo subjacente do processo, para isso inicie o Gerenciador de Tarefas e clicando com o botão direito em qualquer instância do “Host da Janela do Console” selecione no menu adjacente a opção “Abrir Local do Arquivo”.

Estando o arquivo “conhost,exe” localizado na pasta Windows\System32 , aumenta a certeza que o arquivo seus respectivos processos não foram contaminados ou substituídos.

Como exemplo de arquivo malicioso temos o Trojan (Cavalo de Tróia) “Conhost Miner” atuando camuflado como um Processo de Hospedeiro da Janela do Console, basta abrir o Gerenciador de Tarefas para depois pesquisar sua localização e encontrá-lo numa pasta diferente como a %userprofile%\AppData\Roaming\Microsoft ao invés da tradicional Windows\System32. Esse trojan é utilizado realmente na contaminação do computador voltado para a extração de Bitcoins (moeda virtual), um dos comportamentos em equipamentos comprometidos está na alta e constante utilização de memória e processador, frequentemente acima dos 80%.

Ainda que o Windows Defender seja nativo e tenha melhorado bastante, adotar um antivirus com mais recursos e eficiência pode colaborar na proteção e remoção desse arquivo (e processo) malicioso mas lembre-se, prevenir é melhor do que remediar.

Conclusão

A popularização da internet permitiu explodir através de sites especializados ou não em informática, muitos mitos e receios relacionados ao que está em execução nos sistemas operacionais, entre eles temos o Windows como dos mais comentados onde não é novidade vez ou outra surgir rumores de arquivos processos que embora legítimos sejam divulgados como nocivos ou contaminados, o mais impressionante é na maioria das vezes serem arquivos críticos para o funcionamento e por vezes, inutilizar uma instalação que estava totalmente operacional.

Na finalidade de esclarecer um pouco mais sobre esses arquivos, foi apresentado um pouco sobre o processo “conhost.exe” potencial integrante do Windows para boatos, descrevendo algumas de suas funcionalidades, motivos para duas ou mais instâncias em execução finalizando com a possibilidade de ser contaminado além de maneiras de verificar sua confiabilidade.