Есть ряд процессов, которые запускаются с поддельным (несуществующим PID). Примером этого является процесс csrss.exe. Он запускается, а назначенный PID родительского процесса не существует. Если вы посмотрите в procxp.exe, «Родитель» будет указан как «(524)» (в данном случае 524 - это случайный, несуществующий родительский PID). Почему они назначены?
Подсистема времени выполнения клиент / сервер (CSRSS или csrss.exe) создается подсистемой диспетчера сеансов (SMSS или smss.exe). SMSS создается системой (которая всегда имеет PID 4) в сеансе 0 для служб ОС. Кроме того, в сеансе 1 (пользовательский сеанс) создается SMSS с единственной задачей - запускать CSRSS и WinLogon. После запуска этих двух SMSS сеанса 1 завершается.
Следовательно, фантомный родительский идентификатор, который вы видите, является PID процесса SMSS сеанса 1, который уже завершился.