В каждой системе Windows появляются следующие системные процессы (Idle и System не являются полноценными процессами, поскольку в них не запускается какой-нибудь исполняемый код пользовательского режима):
- процесс Idle (содержащий по одному потоку на каждый центральный процессор для подсчета времени его простоя);
- процесс System (содержащий основную часть системных потоков режима ядра);
- диспетчер сеанса (Smss.exe);
- диспетчер локальных сеансов (Lsm.exe);
- подсистема Windows (Csrss.exe);
- инициализация сеанса 0 (Wininit.exe);
- процесс входа в систему (Winlogon.exe);
- диспетчер управления службами (Services.exe) и создаваемые им процессы дочерних служб (например, поддерживаемый системой универсальный сервис-хост процесс, Svchost.exe);
- сервер проверки подлинности локальной системы безопасности (Lsass.exe).
Чтобы понять взаимосвязь этих процессов, полезно будет просмотреть «дерево» процессов, то есть связь между родительскими и дочерними процессами.
Эта связь поможет понять, откуда появляется тот или иной процесс. На рисунке показана копия экрана дерева процессов, просматриваемого после загрузочной трассировки, предпринятой средством Process Monitor.
Использование средства Process Monitor позволяет видеть процессы, выход из которых на тот момент уже был осуществлен (помеченные блеклыми значками).
Показанные на рисунке ключевые системные процессы, будут рассматриваться в следующих статьях. Также будет кратко показан порядок запуска процессов.