Le système d'exploitation Windows assure le suivi de tous les processus en cours d'exécution. Vous pouvez en afficher la liste à l 'aide de l'onglet Processus du Gestionnaire de tâches de Windows (cliquez avec le bouton droit sur la Barre des tâches > cliquez sur Gestionnaire de tâches > cliquez sur Processus).
Chaque processus comporte un identificateur de processus (PID) et un identificateur de processus parent (PID parent). Le PID parent identifie le processus PID qui l'a lancé. Le programme de lancement d'applicatifs utilise une API Windows pour récupérer la liste de processus, PID et PID parents inclus, toutes les trois secondes. Il différencie les processus malveillants des autres processus à l'aide de leur PID parent. Si le PID parent n'est pas un PID du processus de lancement d'applicatifs, ou si le processus n'est pas exécuté en tant qu'utilisateur LocalSystem, il s'agit d'un processus malveillant.
Une fois que le programme de lancement d'applicatifs a identifié les processus malveillants, il exécute les opérations de gestion appropriées, à savoir ignorer ou interrompre les processus, en tenant compte des processus définis dans la liste d'exceptions. Si la consignation est activée, il écrit également les informations sur les processus malveillants dans le journal.
Sous Windows 98/2000/XP, l'API Windows utilisée par le programme de lancement d'applicatifs pour récupérer la liste de processus prend en charge les PID parents. Il peut ainsi identifier correctement les processus malveillants sur les postes de travail Windows 98/2000/XP.
Sous Windows NT*, l'API utilisée par le programme de lancement d'applicatifs ne prend toutefois pas en charge les PID parents. De ce fait, il considère que tous les processus non-utilisateur LocalSystem sont des processus malveillants, y compris les processus qui les ont lancés. Selon l'opération de gestion configurée, le programme de lancement d'applicatifs ignore ou interrompt les processus malveillants.
Pour contourner cette limitation imposée par l'API Windows NT, vous devez configurer le programme de lancement d'applicatifs pour interrompre les processus malveillants et ajouter ensuite les applications lancées par le programme de lancement d'applicatifs à la liste d'exceptions. Pour obtenir plus d'informations et d'instructions, reportez-vous à la section Configuration de la gestion des processus malveillants sur les postes de travail Windows NT .