有许多进程以假(不存在的PID)开始.一个例子是cs
RSS.exe进程.它启动,并且分配的父进程PID不存在.如果你查看procexp.exe,“Parent”列为“(524)”(在这种情况下,524是
随机的,不存在的父PID).为什么分配这些?
客户端/服务器运行时子系统(CS
RSS或cs
RSS.exe)由会话管理器子系统(SMSS或smss.exe)
生成.对于OS服务,SMSS在会话0下由System(其PID总是为4)产生.此外,SMSS在会话1(
用户会话)中产生,其唯一的工作是启动CS
RSS和Win
logon.一旦启动这两个,会话1 SMSS终止.
因此,您看到的幻像父ID是已终止的Session 1 SMSS进程的PID.
原文链接:https://www.f2er.com/windows/368234.html
