El sistema operativo Windows realiza un seguimiento de todos los procesos que se encuentran actualmente en ejecución. Puede ver esta lista en la pestaña Procesos del Administrador de tareas de Windows (haciendo clic con el botón secundario del ratón en la barra de tareas y haciendo clic después en Administrador de tareas > Procesos).
Cada proceso tiene un identificador de proceso (PID) y un identificador de proceso principal (PID principal). El PID principal identifica el proceso que lo ha lanzado. El Lanzador de aplicaciones utiliza una API de Windows para recuperar la lista de procesos, incluidos los PID y los PID principales, cada tres segundos. Gracias a los PID principales, el Lanzador de aplicaciones sabe si el proceso es o no un proceso rogue. Si el PID principal no es el PID del Lanzador de aplicaciones, o si no se ejecuta como el usuario de LocalSystem (sistema local), entonces se trata de un proceso rogue.
Cuando el Lanzador de aplicaciones identifica los procesos rogue, realiza las acciones de gestión correspondientes, omitiendo o finalizando los procesos, teniendo en cuenta todos los procesos identificados en la lista de excepciones. Si el registro está habilitado, escribe además la información de los procesos rogue en el archivo de registro.