Dlaczego otwarcie cmd.exe powoduje uruchomienie 2 procesów?


0

Przed:

https://i.stack.imgur.com/hAAwe.png

Po:

https://i.stack.imgur.com/zto8Y.png

Jak widać liczba procesów wzrasta o 2 z 103 do 105 procesów! Dlaczego ma wzrosnąć o 2? Uciekłem tylko, cmd.execo jest zdecydowanie jednym procesem!

Odpowiedzi:


4

conhost.exejest również uruchamiany po uruchomieniu cmd.exe. Sprawdź ten wątek MS, aby uzyskać więcej informacji.


Dlaczego więc link do innego postu z tym samym pytaniem zamiast link do odpowiedzi, która została podana na tej stronie? np. howtogeek.com/howto/4996/…
Debra

@Debra Pytanie brzmiało, dlaczego liczba procesów wzrasta o dwa przy uruchamianiu jednego pliku wykonywalnego. Link do MS był tylko dodatkową informacją dla ciekawskiego ... (a jeśli przewiniesz wszystkie odpowiedzi w tym wątku, zauważysz, że nawet nie musisz zostawiać odpowiedzi.microsoft.com) .
notjustme

1

Po uruchomieniu zawsze uruchamiany cmd.exejest drugi proces o nazwie conhost.exe. Dlatego widzisz 2 kolejne procesy. Ten plik conhost.exe został dodany w systemie Windows 7 w celu zwiększenia bezpieczeństwa:

W poprzednich wersjach systemu Windows cała aktywność GUI w imieniu aplikacji innych niż GUI, które działały na pulpicie (aplikacje konsolowe), była brokowana przez proces systemowy CSRSS.exe. Gdy aplikacja konsolowa chciała odbierać znaki, wywołała jeden z niewielkiego zestawu „Interfejsów API konsoli” zaimplementowanych w Kernel32.dll, a Kernel32 wykonał wywołanie LPC do CSRSS. CSRSS sprawdził kolejkę wejściową powiązaną z oknem konsoli i zwrócił odpowiednie wejście w trybie znakowym przez Kernel32 z powrotem do aplikacji konsoli.

Problem polegał na tym, że nawet jeśli aplikacja działała w kontekście konta zwykłego użytkownika, CSRSS.EXE działa na lokalnym koncie systemowym. W pewnych okolicznościach złośliwe oprogramowanie mogło wykorzystać słabe punkty w aplikacji w celu wykonania kodu w ramach bardziej uprzywilejowanego konta System lokalny w CSRSS.EXE. Tego rodzaju exploit jest znany jako „atak rozbicia”.

Problem ten został rozwiązany w systemach Windows 7 i Windows Server 2008 R2 poprzez uruchomienie kodu wiadomości konsoli w kontekście nowego procesu ConHost.exe. ConHost (Host konsoli) działa w tym samym kontekście bezpieczeństwa, co powiązana z nim aplikacja konsolowa. Zamiast wydawać żądanie LPC do CSRSS w celu obsługi wiadomości, żądanie trafia do ConHost. W rezultacie wszelkie próby wykorzystania kodu aplikacji do przekazywania wiadomości nie spowodują automatycznego zwiększenia uprawnień.

Więc uspokój się, wszystko jest w porządku z twoim Windowsem.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.