L'usurpation de PPID (Parent Process ID) est une technique qui permet aux attaquants de démarrer des programmes avec un ensemble de processus parent arbitraire. Cela aide les attaquants à donner l'impression que leurs programmes ont été générés par un autre processus (au lieu de celui qui l'aurait généré si aucune usurpation n'avait été effectuée) et cela peut aider à échapper aux détections, qui sont basées sur les relations de processus parent/enfant.