我目前有 2 个 csrss.exe 在系统下运行,每个使用 1700kb - 2156kb 内存。与它们相关的似乎有 2 个 conhost.exe,一个使用大约 1000kb ram 和 1400kb。一个是系统,一个是网络。我在我的系统中发现了 2 个 csrss.exe,一个在 system32 中,一个在 winsxs/amd64_microsoft 中(带有大量数字)我在 system32 中发现了 1 个 conhost,在 winsxs/amd64_microsoft 中发现了 8 个 conhost,后面跟着数字,就像 csrss。这是正常的吗?我可能还看到第三个 conhost 在运行,但我不认为它与 csrss 相连
使用事件查看器日志和进程资源管理器,我发现 csrss 下的 2 个 conhost 文件在 15:33:52 启动(在我的测试中)。同时,在系统下的事件查看器中,MBAMservice 进入了运行状态。此外,服务器服务也进入了运行状态。大约一两秒后启动的其他服务:网络列表服务诊断服务主机人机界面设备访问 Micrsoft 网络检查诊断系统主机便携式设备枚举器计算机浏览器服务事件查看器的应用程序部分中没有任何条目。在安全性下,15:33:52 有一个条目:
审计成功:帐户已成功登录。主题 ID:null sid(在同一条目下)
新登录:安全 ID:匿名登录帐户名称:匿名登录帐户域:nt authority
该条目还有几个部分。这很糟糕吗?我发现了几个匿名登录条目,最早可以追溯到一年前我买电脑的那一天,所以我认为这没什么问题。家里的另一台电脑的硬盘上有同样数量的 conhost 和 csrss.exe 文件(大约 8-9 个,在 amd64 安装文件夹中,一个在 system32 下运行,还有 csrss 文件。另一台电脑有 2 个 csrss 进程在运行,但没有 conhost。)这看起来很糟糕还是没问题?我要运行一些安全模式扫描。(Mbam 和 mse)。扫描结果很清晰。
这是我运行 Geforce Experience 时的图像,该主机出现并很快关闭。
答案1
只要您看到 ConHost.exe,就意味着正在执行非 GUI 程序。当您打开命令提示符或应用程序安装程序需要运行标准“DOS”命令作为安装例程的一部分时,就会发生这种情况。ConHost.exe 进程的出现和消失非常正常,只有当您多次出现多个(20-30 个以上)实例时才需要担心。此外,您会观察到与 ConHost.exe 进程启动和停止相关的程序和服务启动/停止活动,这是很正常的,因为在程序生命周期的这些时间,它们通常需要与非 GUI 应用程序进行交互。
如果你想更深入地了解,可以阅读这篇文章http://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server-2008-r2-console-host.aspx解释了 Windows 7 中新增的 ConHost.exe 以及它要解决的问题:
在以前的 Windows 版本中 [即 Windows 7 之前],代表桌面上运行的非 GUI 应用程序(控制台应用程序)的所有 GUI 活动都由系统进程 CSRSS.exe 代理。
如果您对 Windows 如何处理用户之间的权限分离了解很多,您可能会正确地发现一个潜在的弱点,请继续阅读本文以确认:
问题在于,即使应用程序在普通用户帐户的上下文中运行,CSRSS.EXE 也会在本地系统帐户下运行。因此,在某些情况下,恶意软件可能会利用应用程序中的漏洞,在 CSRSS.EXE 中权限更高的本地系统帐户下执行代码。
Windows 7 通过引入 ConHost.exe 进程永久改变了该模型:
Windows 7 和 Windows Server 2008 R2 通过在新的进程 ConHost.exe 上下文中运行控制台消息代码解决了此问题。ConHost(控制台主机)与其关联的控制台应用程序在相同的安全上下文中运行。请求不会向 CSRSS 发出 LPC 请求进行消息处理,而是转到 ConHost。
希望有帮助!
编辑:
出现两个 csrss.exe 实例并不异常。我在已知干净的计算机上多次观察到这种情况。如果你不有两个实例正在运行,只需启动 CMD.EXE,您很可能最终会得到 csrss.exe 的第二个实例,该实例托管 conhost.exe 的子实例。
就您而言,我没有看到任何证据表明 csrss.exe 的第二个实例或 conhost.exe 的多个实例是恶意的。