O sistema operacional Windows monitora todos os processos atualmente em execução. Você pode ver essa lista na guia Processes (Processos) do Task Manager (Gerenciador de Tarefas) do Windows - clique o botão direito do mouse na Task Bar (Barra de Tarefas) > clique em Task Manager (Gerenciador de Tarefas) > clique em Processes (Processos).
Cada processo tem um identificador de processo (PID) e um identificador de processo pai (PID pai). O PID pai identifica o processo que o disparou. O Disparador de Aplicativos usa uma API do Windows para recuperar a lista de processos, incluindo os PIDs e PIDs pai, a cada três segundos. Ao usar os PIDs pai, o Disparador de Aplicativos sabe se o processo é ou não um processo externo (rogue). Se o PID pai não é o PID do Disparador de Aplicativos ou se o processo não está sendo executado como usuário LocalSystem, trata-se de um processo externo (rogue).
Depois de identificar os processos externos (rogue), o Disparador de Aplicativos executa as ações de gerenciamento apropriadas, ignorando ou encerrando os processos, levando em conta quaisquer processos identificados na lista de exceções. Se o registro estiver habilitado, ele também gravará informações sobre o processo externo (rogue) no arquivo de registro.
No Windows 98/2000/XP, a API do Windows usada pelo Disparador de Aplicativos para recuperar a lista Processos suporta PIDs pai. Isto permite ao Disparador de Aplicativos identificar corretamente processos externos (rogue) em estações de trabalho Windows 98/2000/XP.
No Windows NT*, porém, a API do Windows usada pelo Disparador de Aplicativos não suporta PIDs pai. Portanto, o Disparador de Aplicativos identifica todos os processos de usuários não-LocalSystem como processos externos (rogue), inclusive os processos que ele disparou. Dependendo da ação de gerenciamento configurada, o Disparador de Aplicativos ignorará ou encerrará os processos externos (rogue).
Para contornar essa limitação da API do Windows NT, você precisa configurar o Disparador de Aplicativos para encerrar os processos externos (rogue) e, em seguida, adicionar à lista de exceções os aplicativos disparados pelo Disparador de Aplicativos. Mais informações e instruções são fornecidas em Configurando o gerenciamento de processos externos (rogue) em estações de trabalho Windows NT .