Hay una serie de procesos que se inician con un PID falso (PID inexistente). Un ejemplo de esto es el proceso csrss.exe. Se inicia y el PID del proceso principal asignado no existe. Si busca en procexp.exe, "Padre" aparece como "(524)" (524 es el PID padre aleatorio e inexistente en este caso). ¿Por qué se asignan estos?
Respuesta1
El subsistema de tiempo de ejecución cliente/servidor (CSRSS o csrss.exe) lo genera el subsistema de administrador de sesión (SMSS o smss.exe). SMSS lo genera el Sistema (que siempre tiene un PID de 4) en la Sesión 0 para los servicios del sistema operativo. Además, SMSS se genera en la Sesión 1 (la sesión del usuario) con el único trabajo de iniciar CSRSS y WinLogon. Una vez que se inician esos dos, finaliza el SMSS de la sesión 1.
Por lo tanto, el ID de padre fantasma que está viendo es el PID del proceso SMSS de la sesión 1 que ya finalizó.