EGr*_*EGr 4 windows-server-2008 process
有许多进程以假(不存在的 PID)启动。一个例子是 csrss.exe 进程。它启动了,并且分配的父进程 PID 不存在。如果您查看 procexp.exe,“Parent”被列为“(524)”(在这种情况下,524 是随机的、不存在的父 PID)。为什么要分配这些?
客户端/服务器运行时子系统(CSRSS 或csrss.exe)由会话管理器子系统(SMSS 或smss.exe)产生。SMSS 由系统(其 PID 始终为 4)在会话 0 下为操作系统服务生成。此外,SMSS 是在会话 1(用户会话)中产生的,其唯一工作是启动 CSRSS 和 WinLogon。一旦这两个启动,会话 1 SMSS 终止。
因此,您看到的虚拟父 ID 是已终止的会话 1 SMSS 进程的 PID。