Não há ID de Processo 1,2, ou 3, devido ao funcionamento da tabela de manipulação de kernel do NT.
Os identificadores são sempre múltiplos de quatro. O objeto de processo de tratamento do Kernel é usado para identificadores de processo e IDs de processo / thread. Acontece que todos os valores de manipulação começam em 0x4 (bit 2 ) , e o InitialSystemProcess é o primeiro processo a ser criado, por isso obtém um PID de 4. O processo inativo não é realmente um processo e você não pode abri-lo. Provavelmente não tem um PID real, mas a maioria das ferramentas o considera como 0.
Mais sobre a tabela NT handle , embora isso seja preciso apenas para NT3 -5 (xp), como o Windows 7 agora exige que você faça referência somente às alças do kernel se anexado ao PsInitialSystemProcess.
Mais sobre o Windows 7/8 Lidar com limites de Mark Russinovich