El sistema operativo Windows realiza un seguimiento de todos los procesos que se encuentran en ese momento en ejecución. Puede ver esta lista en la pestaña Procesos del Administrador de tareas de Windows (haciendo clic con el botón derecho en la barra de tareas y haciendo clic después en > ).
Cada proceso tiene un identificador de proceso (PID) y un identificador de proceso principal (PID principal). El PID principal identifica el proceso que lo ha lanzado. El Lanzador de aplicaciones utiliza una API de Windows para recuperar la lista de procesos, incluidos los PID y los PID principales, cada tres segundos. Gracias a los PID principales, el Lanzador de aplicaciones sabe si el proceso es o no un proceso rogue. Si el PID principal no es el PID del Lanzador de aplicaciones, o si no se ejecuta como el usuario de LocalSystem (sistema local), entonces se trata de un proceso rogue.
Cuando el Lanzador de aplicaciones identifica los procesos rogue realiza las acciones de gestión correspondientes, omitiendo o finalizando los procesos y teniendo en cuenta todos los procesos de la lista de excepciones. Si está habilitada la función de registro, escribe además la información de los procesos rogue en el archivo de registro.