Le système d'exploitation Windows suit tous les processus en cours d'exécution. Vous pouvez afficher la liste de ces processus dans l'onglet correspondant du Gestionnaire des tâches de Windows (cliquez avec le bouton droit sur la Barre des tâches, puis cliquez sur > ).
Chaque processus possède un identificateur de processus (PID, process identifier) et un identificateur du processus parent (PID parent ou PPID, parent process identifier). Le PID parent identifie le processus qui le lance. Le programme de lancement d'applicatifs utilise une API Windows pour récupérer la liste des processus, comprenant les PID et les PID parents, toutes les trois secondes. À l'aide des PID parents, le programme de lancement d'applicatifs peut savoir si les processus sont malveillants ou non. Si le PID parent n'est pas celui du programme de lancement d'applicatifs ou si le processus n'est pas exécuté en tant qu'utilisateur LocalSystem, il s'agit d'un processus malveillant.
Après avoir identifié les processus malveillants, le programme de lancement d'applicatifs effectue les opérations de gestion appropriées : soit il ignore les processus, soit il les ferme, tout en tenant compte de la liste d'exceptions. Si l'option de consignation est activée, le programme écrit également les informations sur les processus malveillants dans le fichier journal.