Conhost的全称是console host process, 即命令行程序的宿主进程。win7之前的宿主程序是由csrss.exe来完成的, 所有命令行进程都使用session唯一的csrss.exe进程。
win7则改称每个命令行进程都有一个独立的conhost作为宿主。因为csrss是运行在local system账号下的,如果要处理window message,就要承担很多威胁,比如著名的window message shatter attack。而如果用用户权限的conhost来处理,则即使有攻击,影响的也只是低权限的宿主进程。
