Есть ряд процессов, которые запускаются с поддельным (несуществующим PID). Примером этого является процесс csrss.exe. Он запускается, а назначенный родительскому процессу PID не существует. Если вы посмотрите в procexp.exe, "Parent" указан как "(524)" (524 - это случайный, несуществующий родительский PID в данном случае). Почему они назначены?
решение1
Подсистема выполнения Client/Server (CSRSS или csrss.exe) порождается подсистемой управления сеансами (SMSS или smss.exe). SMSS порождается системой (которая всегда имеет PID 4) в сеансе 0 для служб ОС. Кроме того, SMSS порождается в сеансе 1 (пользовательский сеанс) с единственной задачей запуска CSRSS и WinLogon. После запуска этих двух сеанс 1 SMSS завершается.
Следовательно, фантомный родительский идентификатор, который вы видите, — это PID процесса SMSS сеанса 1, который уже завершен.