有許多進程是用假的(不存在的 PID)啟動的。 csrss.exe 進程就是一個例子。它啟動後,分配的父進程PID不存在。如果查看 procexp.exe,「Parent」會被列為「(524)」(在本例中,524 是隨機的、不存在的父 PID)。為什麼要分配這些?
答案1
客戶端/伺服器執行時間子系統(CSRSS 或csrss.exe)由會話管理器子系統(SMSS 或 )產生smss.exe。 SMSS 由系統(其 PID 始終為 4)在會話 0 下為作業系統服務產生。此外,SMSS 在會話 1(使用者會話)中生成,唯一的工作是啟動 CSRSS 和 WinLogon。一旦這兩個啟動,會話 1 SMSS 就會終止。
因此,您看到的虛擬父 ID 是已終止的會話 1 SMSS 進程的 PID。