Cos’è il processo di sistema in Windows?

Il sistema è il kernel e i driver. Fondamentalmente tutto sotto lo strato dell'architettura chiamato "Executive". In Windows NT (tutte le versioni moderne di Windows sono NT) l'Executive divide i compiti non privilegiati della modalità utente (anello 3 sulle CPU Intel x86) dai compiti di sistema privilegiati (anello 0).

Non usare Task Manager per guardare System. Usate Process Explorer. Con Process Explorer aperto, guarda System e vedrai tre sottoprocessi. Interrupts, Session Manager, e compressione della memoria. Le interruzioni e la compressione della memoria non sono reali, sono solo cose che accadono e sono contabilizzate in Process Explorer in modo da poterle vedere.

Configura Process Explorer per utilizzare il server di simboli pubblico di Microsoft, (Opzioni, Configura simboli). La seconda linea dovrebbe essere vuota. Aggiungi https://msdl.microsoft.com/download/symbols dove è vuota.

Doppio clic sul processo System in Process Explorer, poi vai alla scheda Threads. Aspetta un minuto per recuperare i simboli, e potrai vedere il kernel (ntoskrnl) e i vari driver in esecuzione. I simboli caricati correttamente mostreranno qualsiasi funzione sia stata fatta in quel preciso momento.

(Vi mostrerei uno screenshot, ma Quora oggi si sbaglia.)