Windows资源监视器使用哪些Win32函数来检测已终止进程的磁盘和网络活动

在Windows资源监视器中有四个选项卡-CPU、MEMORY、DISK、NETWORK此程序向我们显示每个进程及其各自的PID(进程ID)，这些进程涉及磁盘驱动器和网络的I/O活动。

问题

我使用的是Win32编程加上Visual C++(Visual Studio)。我创建了一个进程(使用CreateProcess函数)"VBS3_64.exe"，假设我不知道它的内部行为，在我的程序中，我唯一的意图是创建该进程，让它执行几分钟，并使用Terminate或SendMessage功能终止它。在我逐步终止该进程后，Windows资源监视器显示CPU和内存使用情况均处于"Terminated">状态(灰色)，但磁盘活动和网络活动此时都在运行(黑色)数分钟。甚至Windows任务管理器也没有显示该进程。

我使用Win32函数来检查进程是否仍在系统上运行，即使它被称为Terminate或force-kill，但所有这些函数都给了我相同的结果但只有资源监视器检测到其清理活动-磁盘活动和网络活动。

问题

1. 终止的进程如何仍然在后台运行以进行清理，并且只有资源监视器通过其各自的PID检测到它
2. 哪些Win32函数可以帮助我们检测此类进程？(资源监视器正在使用哪些Win32函数来检测已终止进程的后台/清理活动)

请参阅我在MSDN上提出的以下问题：-MSDN问题