Le système d'exploitation Windows suit tous les processus en cours d'exécution. Vous pouvez en visualiser la liste en affichant l'onglet Processus dans le Gestionnaire des tâches de Windows (cliquez avec le bouton droit sur la Barre des tâches, puis cliquez sur Gestionnaire des tâches > Processus).
Chaque processus possède un identificateur de processus (PID, process identifier) et un identificateur du processus parent (PID parent ou PPID, parent process identifier). Le PID parent identifie le processus qui le lance. Le programme de lancement d'applicatifs utilise une API Windows pour récupérer la liste des processus, comprenant les PID et les PID parents, toutes les trois secondes. À l'aide des PID parents, le programme de lancement d'applicatifs peut savoir si les processus sont malveillants ou non. Si le PID parent n'est pas le PID du programme de lancement d'applicatifs ou si le processus n'est pas exécuté en tant qu'utilisateur LocalSystem, il s'agit alors d'un processus malveillant.
Une fois que le programme de lancement d'applicatifs a vérifié les processus malveillants, il effectue les opérations de gestion appropriées : soit il ignore les processus, soit il les ferme, tout en tenant compte des processus identifiés dans la liste des exceptions. Si l'option de consignation est activée, le programme écrit également les informations de processus malveillants dans le fichier journal.