Przed:
Po:
Jak widać liczba procesów wzrasta o 2 z 103 do 105 procesów! Dlaczego ma wzrosnąć o 2? Uciekłem tylko, cmd.exe
co jest zdecydowanie jednym procesem!
Przed:
Po:
Jak widać liczba procesów wzrasta o 2 z 103 do 105 procesów! Dlaczego ma wzrosnąć o 2? Uciekłem tylko, cmd.exe
co jest zdecydowanie jednym procesem!
Odpowiedzi:
conhost.exe
jest również uruchamiany po uruchomieniu cmd.exe
. Sprawdź ten wątek MS, aby uzyskać więcej informacji.
Po uruchomieniu zawsze uruchamiany cmd.exe
jest drugi proces o nazwie conhost.exe
. Dlatego widzisz 2 kolejne procesy. Ten plik conhost.exe został dodany w systemie Windows 7 w celu zwiększenia bezpieczeństwa:
W poprzednich wersjach systemu Windows cała aktywność GUI w imieniu aplikacji innych niż GUI, które działały na pulpicie (aplikacje konsolowe), była brokowana przez proces systemowy CSRSS.exe. Gdy aplikacja konsolowa chciała odbierać znaki, wywołała jeden z niewielkiego zestawu „Interfejsów API konsoli” zaimplementowanych w Kernel32.dll, a Kernel32 wykonał wywołanie LPC do CSRSS. CSRSS sprawdził kolejkę wejściową powiązaną z oknem konsoli i zwrócił odpowiednie wejście w trybie znakowym przez Kernel32 z powrotem do aplikacji konsoli.
Problem polegał na tym, że nawet jeśli aplikacja działała w kontekście konta zwykłego użytkownika, CSRSS.EXE działa na lokalnym koncie systemowym. W pewnych okolicznościach złośliwe oprogramowanie mogło wykorzystać słabe punkty w aplikacji w celu wykonania kodu w ramach bardziej uprzywilejowanego konta System lokalny w CSRSS.EXE. Tego rodzaju exploit jest znany jako „atak rozbicia”.
Problem ten został rozwiązany w systemach Windows 7 i Windows Server 2008 R2 poprzez uruchomienie kodu wiadomości konsoli w kontekście nowego procesu ConHost.exe. ConHost (Host konsoli) działa w tym samym kontekście bezpieczeństwa, co powiązana z nim aplikacja konsolowa. Zamiast wydawać żądanie LPC do CSRSS w celu obsługi wiadomości, żądanie trafia do ConHost. W rezultacie wszelkie próby wykorzystania kodu aplikacji do przekazywania wiadomości nie spowodują automatycznego zwiększenia uprawnień.
Więc uspokój się, wszystko jest w porządku z twoim Windowsem.