Dlaczego otwarcie cmd.exe powoduje uruchomienie 2 procesów?

Przed:

Po:

Jak widać liczba procesów wzrasta o 2 z 103 do 105 procesów! Dlaczego ma wzrosnąć o 2? Uciekłem tylko, cmd.execo jest zdecydowanie jednym procesem!

conhost.exejest również uruchamiany po uruchomieniu cmd.exe. Sprawdź ten wątek MS, aby uzyskać więcej informacji.

Po uruchomieniu zawsze uruchamiany cmd.exejest drugi proces o nazwie conhost.exe. Dlatego widzisz 2 kolejne procesy. Ten plik conhost.exe został dodany w systemie Windows 7 w celu zwiększenia bezpieczeństwa:

W poprzednich wersjach systemu Windows cała aktywność GUI w imieniu aplikacji innych niż GUI, które działały na pulpicie (aplikacje konsolowe), była brokowana przez proces systemowy CSRSS.exe. Gdy aplikacja konsolowa chciała odbierać znaki, wywołała jeden z niewielkiego zestawu „Interfejsów API konsoli” zaimplementowanych w Kernel32.dll, a Kernel32 wykonał wywołanie LPC do CSRSS. CSRSS sprawdził kolejkę wejściową powiązaną z oknem konsoli i zwrócił odpowiednie wejście w trybie znakowym przez Kernel32 z powrotem do aplikacji konsoli.

Problem polegał na tym, że nawet jeśli aplikacja działała w kontekście konta zwykłego użytkownika, CSRSS.EXE działa na lokalnym koncie systemowym. W pewnych okolicznościach złośliwe oprogramowanie mogło wykorzystać słabe punkty w aplikacji w celu wykonania kodu w ramach bardziej uprzywilejowanego konta System lokalny w CSRSS.EXE. Tego rodzaju exploit jest znany jako „atak rozbicia”.

Problem ten został rozwiązany w systemach Windows 7 i Windows Server 2008 R2 poprzez uruchomienie kodu wiadomości konsoli w kontekście nowego procesu ConHost.exe. ConHost (Host konsoli) działa w tym samym kontekście bezpieczeństwa, co powiązana z nim aplikacja konsolowa. Zamiast wydawać żądanie LPC do CSRSS w celu obsługi wiadomości, żądanie trafia do ConHost. W rezultacie wszelkie próby wykorzystania kodu aplikacji do przekazywania wiadomości nie spowodują automatycznego zwiększenia uprawnień.

Więc uspokój się, wszystko jest w porządku z twoim Windowsem.