Ответы:
Нет идентификатора процесса 1,2 или 3 из-за того, как работает таблица дескрипторов ядра NT.
Ручки всегда кратны четырем. Объект процесса дескриптора ядра используется как для дескрипторов процесса, так и для идентификаторов процессов / потоков. Бывает, что значения дескриптора начинаются с 0x4 (бит 2) , и InitialSystemProcess является первым процессом, который будет создан, поэтому он получает PID 4. Фактически, неактивный процесс не является процессом, и вы не можете его открыть. Вероятно, у него нет реального PID, но большинство инструментов считают его равным 0.
Подробнее о таблице дескрипторов NT здесь, хотя это верно только для NT3-5 (xp), поскольку Windows 7 теперь требует, чтобы вы ссылались только на дескрипторы ядра, если они подключены к PsInitialSystemProcess.
Подробнее о Windows 7/8 Обработка ограничений от Марка Руссиновича
