偽の (存在しない PID) で開始されるプロセスが多数あります。この例としては、csrss.exe プロセスがあります。このプロセスが起動すると、割り当てられた親プロセス PID が存在しません。procexp.exe を見ると、「親」が「(524)」と表示されます (この場合、524 はランダムな、存在しない親 PID です)。なぜこれらが割り当てられるのでしょうか?
答え1
クライアント/サーバー ランタイム サブシステム (CSRSS またはcsrss.exe) は、セッション マネージャー サブシステム (SMSS またはsmss.exe) によって生成されます。SMSS は、OS サービス用のセッション 0 でシステム (常に PID が 4) によって生成されます。さらに、SMSS はセッション 1 (ユーザー セッション) で生成され、CSRSS と WinLogon を起動する唯一のジョブを実行します。これら 2 つが起動されると、セッション 1 SMSS は終了します。
したがって、表示されているファントム親 ID は、すでに終了しているセッション 1 SMSS プロセスの PID です。