Un lecteur de TechJunkie m'a contacté hier pour me demander quel service Windows il avait remarqué sur sa machine. C'était «conhost.exe» et le lecteur se demandait ce que c'était, ce qu'il faisait et s'il était sûr ou non de fonctionner sur son PC.
Compte tenu de toutes les nouvelles concernant la sécurité informatique, il est naturel que les gens s’inquiètent des services qu’ils ne reconnaissent pas. Je suggérerais toujours de savoir ce qu'est un service ou un programme et ce qu'il fait si vous ne le reconnaissez pas immédiatement. Même les systèmes les plus sécurisés peuvent toujours être exposés aux logiciels malveillants. Donc, il vaut vraiment mieux prévenir que guérir!
Je suis toujours heureux de répondre aux questions relatives à Windows chaque fois que je peux, voici donc tout ce que je sais sur conhost.exe.
Conhost.exe sous Windows
Conhost.exe apparaît en tant qu'hôte Windows de la console sur les ordinateurs Windows 10. Ouvrez le Gestionnaire des tâches (cliquez avec le bouton droit de la souris sur la barre des tâches Windows et sélectionnez-la), puis faites défiler jusqu'aux processus Windows. Une ou plusieurs instances de ce dernier devraient être en cours d'exécution. Vous pouvez voir plus d'instances, vous ne pouvez pas.
Plusieurs instances de Conhost.exe conviennent si vous avez plusieurs programmes ouverts, mais si vous venez de démarrer votre ordinateur à partir d'un état éteint, cela signifie que vous avez quelques programmes exécutés en arrière-plan dont vous n'avez pas besoin.
Que fait Conhost.exe?
Conhost.exe est une évolution de crss.exe qui s’exécutait sur les anciennes versions de Windows, telles que XP. Crss.exe était une API d'intermédiaire qui permettait aux applications à interface graphique d'interagir avec des applications non-Gui telles que la ligne de commande. Par exemple, si vous avez un fichier texte contenant une commande batch, vous pouvez faire glisser ce fichier texte dans CMD et la ligne de commande peut exécuter le fichier batch. Les programmes utilisant une interface graphique utiliseraient également crss.exe. pour interagir avec la console dans les coulisses.
Crss.exe a permis à la console d'effectuer un glisser-déposer dans une console traditionnellement non-glisser-déposer. Toutefois, crss.exe a utilisé le compte système local pour travailler, lequel dispose de nombreux privilèges sur un ordinateur. Crss.exe a théoriquement autorisé les exploits à interagir entre les comptes utilisateur restreints où les programmes d'interface graphique fonctionnaient et le compte système local sur lequel les applications de console fonctionnaient. Cela permettait en quelque sorte aux logiciels malveillants d’obtenir un accès illimité à votre ordinateur.
Crss.exe a été remplacé par conhost.exe dans Windows 7 et est toujours présent dans Windows 10. Il fait toujours la même chose que crss.exe, mais sans octroyer l'accès aux comptes du système local ou à des privilèges élevés.
Le site Web de Microsoft Technet contient une page utile sur les fichiers crss.exe et conhost.exe.
Certains sites Web parlent de conhost.exe concernant l’esthétique et la thématisation, mais je ne crois pas que cela soit vrai. La page Technet explique que conhost.exe a été introduit pour aider à sécuriser le noyau Windows en rompant ce pont entre les comptes d’utilisateur et les comptes d’ordinateur local. Il ne mentionne rien sur la façon dont la console apparaît.
Ma propre expérience avec Windows Server de différentes générations confirme cela. Depuis Server 2003, Microsoft a déployé beaucoup d'efforts pour séparer le système d'exploitation principal des comptes d'utilisateurs afin de le sécuriser davantage. On n'a pas beaucoup réfléchi à son apparence. Tout dépendait de la façon dont cela fonctionnait.
Conhost.exe est sécuritaire?
Comme vous le savez probablement déjà, certains logiciels malveillants peuvent imiter les propriétés de processus ou de programmes Windows légitimes. Ainsi, bien qu’en surface, il puisse sembler évident que conhost.exe est sûr, il est toujours bon de vérifier. Voici comment.
- Cliquez avec le bouton droit sur la barre des tâches Windows et sélectionnez Gestionnaire des tâches.
- Faites défiler la liste jusqu'à Processus Windows et localisez la console Windows Host.
- Faites un clic droit et sélectionnez Propriétés.
Sous Emplacement, vous devriez voir C: \ Windows \ System32. Toutes les instances de conhost.exe doivent être exécutées à partir de System32. Par conséquent, si vous voyez cela, elles sont sécurisées. Si l'emplacement du fichier est différent, il est probable qu'il ne soit pas légitime.
Une façon de vérifier consiste à utiliser Process Explorer. Il s’agit d’un programme qui prend Task Manager et le transforme en 11. Ouvrez Process Explorer et recherchez conhost.exe. En plus de vous montrer que c'est légitime, il devrait également vous montrer le programme avec lequel il interagit. Dans l'image, vous pouvez voir que celui sur mon ordinateur Windows 10 fonctionne avec le processus Nvidia Web Helper. Ceci est une instance légitime de conhost.exe.
Vous pouvez répéter ce processus pour tous les processus Windows que vous souhaitez extraire. Chaque processus doit avoir son emplacement dans C: \ Windows \ System32. Si ce n'est pas le cas, lancez votre scanner antivirus et antivirus au cas où. Pour les processus en arrière-plan, l'emplacement doit correspondre au répertoire installé du processus.
J'espère que cela a bien répondu à la question. Oui, conhost.exe est légitime et oui, il est sécurisé tant qu'il a son emplacement dans C: \ Windows \ System32.
Vous avez d'autres processus Windows sur lesquels vous aimeriez en savoir plus? Parlez-nous d'eux ci-dessous si vous le faites et je vais essayer de répondre autant que je peux!
