Der Zugriffsscanner schaltet sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber) ein, und scannt Dateien an der Stelle, an der Sie zuerst in das System gelangen. Er agiert als ein Teil des Systems (Systemdienst) und sendet über die Benutzeroberfläche Benachrichtigungen, wenn Entdeckungen stattfinden.

Wenn versucht wird, eine Datei zu öffnen, zu schließen oder umzubenennen, hört der Scanner den Vorgang ab und führt die folgenden Aktionen aus.

1. Der Scanner bestimmt, ob die Datei aufgrund der folgenden Kriterien gescannt werden soll:
   
   • Die Dateierweiterung entspricht der Konfiguration.
   • Die Datei wurde nicht im Cache gespeichert.
   • Die Datei wurde nicht ausgeschlossen.
   • Die Datei wurde nicht zuvor bereits gescannt.
2. Wenn die Datei die Scan-Kriterien erfüllt, wird sie gescannt, indem die Informationen in der Datei mit den bekannten Malware-Signaturen in den aktuell geladenen DAT-Dateien verglichen werden.
   
   • Wenn die Datei “sauber” ist, wird das Ergebnis in den Cache kopiert und der Zugriff für Lese-, Schreib- oder Umbenennungsvorgänge erteilt.
   • Enthält die Datei eine Bedrohung, wird der Zugriff verweigert, und es wird die konfigurierte Aktion ausgeführt. Beispiel:
     
     • Wenn die Datei bereinigt werden muss, wird der entsprechende Reinigungsvorgang durch die aktuell geladenen DAT-Dateien bestimmt.
     • Die Ergebnisse werden in einem Aktivitätsprotokoll aufgezeichnet, sofern der Scanner entsprechend konfiguriert wurde.
     • Die Warnung Nachrichten vom Scannen bei Zugriff wird angezeigt, und in ihr sind der Dateiname und die auszuführende Aktion angegeben, wenn der Scanner dafür konfiguriert wurde.
3. Wenn die Datei die Scan-Anforderungen nicht erfüllt, wird sie nicht gescannt. Sie wird im Cache gespeichert, und der Zugriff wird erteilt.
   Hinweis: Der Scan-Datei-Cache wird geleert, und alle Dateien werden erneut gescannt, wenn die Zugriffsscan-Konfiguration geändert wird, eine EXTRA.DAT-Datei hinzugefügt wird oder der Cache voll ist.