El analizador en tiempo real se conecta al sistema en los niveles inferiores (Archivo-Controlador de filtro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez. El analizador en tiempo real actúa como parte del sistema (Servicio del sistema) y envía notificaciones a través de la interfaz cuando se producen detecciones.

Cuando se produce un intento de abrir, cerrar o cambiar el nombre de un archivo, el analizador intercepta la operación y lleva a cabo las siguientes acciones.

1. El analizador determina si el archivo debe analizarse según estos criterios:
   
   • La extensión del archivo coincide con la configuración.
   • El archivo no se ha guardado en caché.
   • El archivo no se ha excluido.
   • El archivo no se ha analizado previamente.
2. Si cumple los criterios de análisis, el archivo se analiza comparando su información con las firmas de malware conocido que se encuentran en ese momento en los archivos DAT.
   
   • Si el archivo está limpio, el resultado se guarda en caché y se garantizan las operaciones de lectura, escritura o cambio de nombre.
   • Si el archivo contiene una amenaza, se deniega la operación y se lleva a cabo la acción configurada. Por ejemplo:
     
     • Los archivos DAT cargados actualmente determinan si es necesario limpiar el archivo.
     • Si el analizador se ha configurado para ello, los resultados se anotan en el registro de actividades.
     • Si el analizador se ha configurado para ello, aparece la alerta Mensajes del análisis en tiempo real con el nombre del archivo y la acción llevada a cabo.
3. Si el archivo no cumple los requisitos de análisis, no se analiza. Se guarda en caché y se garantiza la operación.
   Nota: La caché de archivos de análisis se renueva y se vuelven a analizar todos los archivos siempre que, por ejemplo, se modifique la configuración del análisis en tiempo real, se agregue un archivo EXTRA.DAT o cuando la caché esté llena.