O sistema operacional Windows controla todos os processos que estão sendo executados em um determinado momento. Para verificar essa lista, veja a guia Processos no Gerenciador de Tarefas do Windows (clique o botão direito do mouse na barra de tarefas e selecione > ).
Cada processo tem um PID (Process Identifier - Identificador de Processo) e um PID pai. O PID pai identifica o processo que o disparou. O Disparador de Aplicativos utiliza uma API do Windows para recuperar a lista de processos, incluindo os PIDs e os PIDs pai, a cada três segundos. Utilizando esses PIDs pai, ele detecta se o processo é ou não um processo invasor. Se o PID pai não for um PID do Disparador de Aplicativos ou se o processo não estiver sendo executado como o usuário de Sistema Local, significa que ele é um processo invasor.
Depois que o Disparador de Aplicativos identifica os processos invasores, ele realiza as ações de gerenciamento apropriadas, ignorando ou encerrando esses processos, sem deixar de levar em consideração todos os processos identificados na lista de exceções. Se o recurso de registro estiver habilitado, ele também gravará as informações sobre processos invasores no arquivo de registro.