Es gibt eine Reihe von Prozessen, die mit einer falschen (nicht vorhandenen) PID gestartet werden. Ein Beispiel hierfür ist ein csrss.exe-Prozess. Er wird gestartet, und die zugewiesene PID des übergeordneten Prozesses existiert nicht. Wenn Sie in procexp.exe nachsehen, wird „Parent“ als „(524)“ aufgeführt (524 ist in diesem Fall die zufällige, nicht vorhandene übergeordnete PID). Warum werden diese zugewiesen?
Antwort1
Das Client/Server Runtime Subsystem (CSRSS oder csrss.exe) wird vom Session Manager Subsystem (SMSS oder smss.exe) gestartet. SMSS wird vom System (das immer eine PID von 4 hat) unter Sitzung 0 für OS-Dienste gestartet. Darüber hinaus wird SMSS in Sitzung 1 (der Benutzersitzung) gestartet, mit der einzigen Aufgabe, CSRSS und WinLogon zu starten. Sobald diese beiden gestartet sind, wird das SMSS der Sitzung 1 beendet.
Daher ist die angezeigte Phantom-Übergeordnet-ID die PID des SMSS-Prozesses der Sitzung 1, der bereits beendet wurde.