Das ganze funktioniert auch alles schon blos das doofe ist, das der Prozess smss.exe heisst.
SMSS == Session Manager Subsystem
Das ist eines der Kernsubsysteme von Windows und wird aus dem Kernel heraus gestartet. Wird dieser Prozess beendet, gibt es einen Bluescreen. Würdest du csrss.exe (Client Server Subsystem) beenden, würde im besten Fall ein Bluescreen kommen und im schlimmsten Fall würden
Win32-Prozesse sich merkwürdig verhalten, weil csrss.exe das
Win32-Subsystem implementiert. Ja,
Win32 ist eigentlich auf der NT-Plattform nur ein Subsystem, wenn auch mehr oder weniger das zentrale ...
Selbstverständlich kann sich auch ein bösartiger Prozess mit diesen Namen tarnen, aber dann könnte man wiederum
Signaturen überprüfen (siehe Bernhards Vorschlag). Dennoch, bei diesem Mangel an Grundkenntnissen mag dein Ziel durchaus ehrenwert sein, aber bitte lasse es lieber sein. Du kannst damit Leute und deren Daten in die Bredouille bringen.
Ein wirklich gutes? Was ist mit den Diensten? Die müssen keinesfalls alle von Mikroweich stammen (kann man schließlich auch selbst programmieren), doch nach meinem Wissen laufen die regelmäßig im Kernelmodus!
Wie Sven schon schrieb, im KM laufen nur der Kernel und Treiber, wobei die Threads in den "normalen" Prozessen natürlich ab und an einen Ausflug in den KM machen um bspw. Dateien zu lesen, Ereignisse zu erstellen uns so weiter und so weiter. Treiber sind im Übrigen eher mit DLLs vergleichbar als mit Programmen, wenn man denn schon einen Vergleich benötigt um es sich zu verbildlichen ...