После входа пользователя процесс explorer создается процессом userinit. Userinit выполняет некоторую инициализацию пользовательской среды (например, запускает сценарий входа в систему и применяет групповые политики), а затем просматривает в реестре значение Shell и создает процесс для запуска определяемой системой оболочки - по умолчанию Explorer.exe. Затем Userinit выходит. Вот почему Explorer.exe показывается различными исследователями процессов без родительского элемента - его родительский объект завершен. - обратитесь от
wiki File_Explorer
Как видно из этой картинки, explorer.exe был запущен userinit.exe, и userinit.exe наконец завершился, так что explorer.exe не имеет родительского процесса.
Поскольку в Windows для запуска процессов запуска используется explorer.exe, все обычные процессы являются дочерними для explorer.exe, за исключением случаев, когда дочерний элемент был мертв, а дочерний - нет.
Потому что все новые программы запускаются пользователем, работающим на рабочем столе пользователя, поэтому они все дети исследователя.
