今天，將向大家介紹Windows 7 / Windows Server 2008 R2的新特性――控制臺主機(jī)（ConHost.exe）。

其實(shí)，不論是作為普通用戶還是企業(yè)管理員，我們在日常的Windows應(yīng)用和運(yùn)維過程中都會或多或少的使用到控制臺應(yīng)用程序。控制臺應(yīng)用程序是沒有用戶界面的，我們需要通過命令提示符（CMD，這可不是DOS，很多人混淆不清）對其進(jìn)行輸入、輸出操作。

那么大家來回想一下，Windows自帶了哪些控制臺應(yīng)用程序呢？

其實(shí)最典型的就有cmd.exe、nslookup.exe和telnet.exe等。

在早期的Windows版本中，所有代表非GUI活動的應(yīng)用程序（即控制臺應(yīng)用程序）要在桌面上運(yùn)行時(shí)，都通過系統(tǒng)進(jìn)程Csrss.exe進(jìn)行協(xié)調(diào)。當(dāng)控制臺應(yīng)用程序需要接收字符時(shí)，會在Kernel32.dll中調(diào)用一個(gè)小型的“控制臺APIs以讓Kernel32產(chǎn)生LPC來調(diào)用CSRSS。此時(shí)CSRSS會對控制臺窗口的輸入隊(duì)列進(jìn)行檢查和校驗(yàn)，并將字符模式的結(jié)果通過Kernel32返回給控制臺應(yīng)用程序進(jìn)行關(guān)聯(lián)。早期Windows版本中控制臺應(yīng)用程序?qū)ο⒌奶幚頇C(jī)制如下圖所示：

這樣的處理機(jī)制就已經(jīng)產(chǎn)生了一個(gè)問題：即使一個(gè)控制臺應(yīng)用程序在普通用戶的上下文環(huán)境中執(zhí)行，但Csrss.exe始終是運(yùn)行在本地系統(tǒng)賬戶權(quán)限下的。因此，某些情況下“壞人開發(fā)的惡意軟件就有可能通過本地系統(tǒng)賬戶權(quán)限執(zhí)行的Csrss.exe獲取到更多特權(quán)。這種攻擊模式被稱為Shatter Attack。

而到了Win7和Windows Server 2008 R2時(shí)代，所有控制臺應(yīng)用程序都被放到了一個(gè)新的上下文進(jìn)程ConHost.exe中來執(zhí)行，而ConHost（控制臺主機(jī)）與控制臺程序運(yùn)行在相同安全級的上下文環(huán)境當(dāng)中，取代了發(fā)出LPC消息請求到CSRSS中進(jìn)行處理這種機(jī)制，而是去請求ConHost。因此，任何應(yīng)用程序企圖利用消息請求來導(dǎo)致特權(quán)的自動提升都不會成功。下圖為Windows7和Windows Server 2008 R2中所采用新機(jī)制的示意圖：

ConHost取代了在控制臺應(yīng)用程序?qū)/O處理方式的永久性變化，用戶不能通過注冊表或組策略強(qiáng)制將Windows恢復(fù)到“傳統(tǒng)模式控制臺的行為（機(jī)制）。因此，用戶需要在升級到Windows7或Windows Server 2008 R2之前對應(yīng)用程序進(jìn)行全面的測試。請不要忘記，雖然有的應(yīng)用程序大部分功能都通過GUI來實(shí)現(xiàn)，但仍然在后臺通過控制臺或其它功能接口對數(shù)據(jù)進(jìn)行批量處理。因此，在遷移或等級之前進(jìn)行全面的應(yīng)用程序功能測試是非常有必要的。

當(dāng)有應(yīng)用程序無法在Windows7中正常使用時(shí)，我們應(yīng)當(dāng)首先測試使用管理員權(quán)限再次執(zhí)行看問題是否發(fā)生，其實(shí)再使用Process Monitor來監(jiān)控此應(yīng)用程序?qū)ξ募蜃员淼脑L問權(quán)限是否正常。如果排除以上問題應(yīng)用程序還是無法正常運(yùn)行，您則需要考慮聯(lián)系ISV或其開發(fā)人員了。

如果應(yīng)用程序發(fā)生崩潰，相應(yīng)的崩潰轉(zhuǎn)儲文件是最有利于開發(fā)人員和ISV找到問題癥結(jié)的。如果應(yīng)用程序停止響應(yīng)，您可以嘗試使用ADPlus來抓取它及與其相關(guān)的ConHost.exe進(jìn)程Dump。控制臺應(yīng)用程序可以共享Windows控制臺的許多子進(jìn)程，例如：當(dāng)用戶從CMD窗口啟動Telnet，則Telnet.exe會成為Cmd.exe的子進(jìn)程。在此種情況下，ConHost.exe主機(jī)則同時(shí)處理父進(jìn)程和子進(jìn)程的消息實(shí)例。通過使用Process Explorer我們便可以確認(rèn)ConHost.exe正在處理哪些進(jìn)程：

您還可以用Windows7資源監(jiān)視器功能中自帶的“分析等待鏈功能來查看ConHost.exe進(jìn)程的申請過程：

最后別忘記了，遷移之前的應(yīng)用程序全面測試哦！