Um leitor do TechJunkie entrou em contato comigo ontem, perguntando sobre um serviço específico do Windows que ele notou em sua máquina. Era 'conhost.exe' e o leitor se perguntava o que era, o que fazia e se era seguro rodar em seu PC ou não.
Dadas todas as notícias sobre segurança de computadores, é natural que as pessoas se preocupem com os serviços que não reconhecem. Eu sempre sugeriria descobrir o que é um serviço ou programa e o que ele faz se você não o reconhecer imediatamente. Mesmo os sistemas mais seguros ainda podem ser suscetíveis a malware. Então é realmente melhor prevenir do que remediar!
Fico sempre feliz em responder a perguntas relacionadas ao Windows sempre que possível, e aqui está tudo o que sei sobre o conhost.exe.
Conhost.exe no Windows
Conhost.exe aparece como Host do Windows do console em computadores Windows 10. Abra o Gerenciador de tarefas (clique com o botão direito na barra de tarefas do Windows e selecione-o), role para baixo até os processos do Windows e deve haver uma ou mais instâncias em execução. Você pode ver mais instâncias, talvez não.
Várias instâncias do Conhost.exe são boas se você tiver vários programas abertos, mas se você acabou de inicializar o computador a partir de um estado desligado, significa que você tem alguns programas em execução em segundo plano que não precisam.
O que faz o Conhost.exe?
O Conhost.exe é uma evolução do crss.exe, que era executada em versões mais antigas do Windows, como o XP. Crss.exe era uma API intermediária que permitia que aplicativos da GUI interajam com aplicativos que não sejam da GUI, como a linha de comando. Por exemplo, se você tiver um arquivo de texto contendo um comando em lote, poderá arrastá-lo para o CMD e a linha de comando poderá executar o arquivo em lote. Programas que usavam uma GUI também usariam crss.exe. para interagir com o console nos bastidores.
Crss.exe permitiu que o console realizasse arrastar e soltar em um console tradicionalmente sem arrastar e soltar. No entanto, o crss.exe usou a conta do sistema local para trabalhar com muitos privilégios em um computador. O Crss.exe teoricamente permitiu que as explorações interagissem entre contas de usuário restritas onde os programas da GUI funcionavam e a conta do sistema local em que os aplicativos do console funcionavam. Isso forneceu uma espécie de ponte para o malware obter acesso irrestrito ao seu computador.
O crss.exe foi substituído pelo conhost.exe no Windows 7 e ainda está presente no Windows 10. Ele ainda faz o mesmo que o crss.exe, mas sem conceder acesso às contas do sistema local ou privilégios elevados.
O site da Microsoft Technet tem uma página útil em crss.exe e conhost.exe.
Alguns sites de tecnologia falam sobre conhost.exe sobre estética e temas, mas eu não acredito que isso seja verdade. A página Technet explica que o conhost.exe foi introduzido para ajudar a proteger o núcleo do Windows, quebrando a ponte entre as contas de usuário e a máquina local. Não menciona nada sobre como o console aparece.
Minha própria experiência com o Windows Server de várias gerações confirma isso. Desde o Server 2003, a Microsoft trabalhou muito para separar o SO principal das contas de usuário para torná-lo mais seguro. Não se pensou muito em como parecia. Era tudo sobre como funcionava.
O conhost.exe é seguro?
Como você provavelmente já sabe, alguns malwares podem imitar as propriedades de processos ou programas legítimos do Windows. Portanto, embora na superfície possa parecer óbvio que o conhost.exe é seguro, é sempre uma boa ideia verificar. Aqui está como.
- Clique com o botão direito do mouse na Barra de Tarefas do Windows e selecione Gerenciador de Tarefas.
- Role para baixo até processos do Windows e localize o Host do Windows do console.
- Clique com o botão direito e selecione Propriedades.
Em Localização, você deverá ver C: \ Windows \ System32. Todas as instâncias do conhost.exe devem ser executadas no System32, portanto, se você vir isso, é seguro. Se o local do arquivo for diferente, é provável que não seja legítimo.
Uma maneira de verificar é usar o Process Explorer. Este é um programa que utiliza o Gerenciador de Tarefas e o aumenta para 11. Abra o Process Explorer e localize conhost.exe. Além de mostrar que é legítimo, também deve mostrar com qual programa ele está interagindo. Na imagem, você pode ver que o dispositivo Windows 10 está funcionando com o processo Nvidia Web Helper. Esta é uma instância legítima do conhost.exe.
Você pode repetir esse processo para qualquer processo do Windows que deseje fazer check-out. Todo processo deve ter seu local em C: \ Windows \ System32. Caso contrário, execute o seu antivírus e scanner de malware apenas por precaução. Para processos em segundo plano, o local deve corresponder ao diretório instalado do processo.
Espero que tenha respondido adequadamente à pergunta. Sim, conhost.exe é legítimo e sim, é seguro desde que tenha sua localização em C: \ Windows \ System32.
Há algum outro processo do Windows que você gostaria de saber mais? Conte-nos sobre eles abaixo, se o fizer, e tentarei responder o máximo que puder!
