smss.exe (Session Manager SubSystem) est le gestionnaire de session de Windows.
Une fois que les pilotes de boot et les pilotes système ont été chargés, le noyau lance smss.exe. smss.exe lance autochk.exe pour vérifier le ou les différent(s) système(s) de fichiers, crée les variables d’environnement et démarre :
- La gestion de la mémoire : pagination, mémoire virtuelle, fichier de swap pagefile.sys
- le mode noyau du sous-système Win32 (win32k.sys)
La première instance smss.exe crée une instance enfant pour chaque nouvelle session :
La session 0: l’instance enfant initialise la nouvelle session en démarrant le sous-système Windows (csrss.exe) et wininit.exeLes session suivantes (utilisateurs): l’instance enfant lance winlogon.exe et se termine.
C’est pourquoi le processus winlogon.exe n’a pas de parent visible dans l’arbre des processus.
Localisation
%SYSTEMROOT%\System32\smss.exe
DFIR
Processus Parent : System
Utilisateur / Compte : Local System
Nombre d’instance : une instance racine et des instances enfants pour chaque session.
Lancement : Dans les secondes après le démarrage de l’instance racine
Remarques
- Un des plus importants composants de Windows