L’analyseur à l’accès intervient aux niveaux les plus bas du système (pilote de filtre du système de fichiers), il analyse les fichiers dès leur accès au système. Il agit comme un élément du système (service système) et envoie des notifications via l’interface en cas de détections.

En cas de tentative d’ouverture, de fermeture ou de modification du nom d’un fichier, l’analyseur intercepte l’opération et effectue les actions suivantes.

1. L’analyseur détermine si le fichier doit être analysé, selon ces critères :
   
   • L’extension du fichier correspond à la configuration.
   • Le fichier n’a pas été mis en cache.
   • Le fichier n’a pas été exclu.
   • Le fichier n’a pas encore été analysé.
2. Si le fichier remplit les critères d’analyse, il est analysé via la comparaison de ses informations avec les signatures de logiciels malveillants (malwares) connues contenues dans les fichiers DAT actuellement chargés.
   
   • Si le fichier ne contient pas de virus, le résultat est mis en cache et l’opération de lecture, d’écriture ou de modification de nom est autorisée.
   • Si le fichier contient une menace, l’opération est refusée et l’action configurée est effectuée. Exemple :
     
     • Si le fichier doit être nettoyé, ce processus est déterminé par les fichiers DAT actuellement chargés.
     • Les résultats sont enregistrés dans le journal d’activité si l’analyseur a été configuré ainsi.
     • L’alerte Messages d’analyse lors de l’accès s’affiche et contient le nom de fichier et l’action entreprise, si l’analyseur a été configuré ainsi.
3. Si le fichier ne répond pas aux conditions d’analyse, il n’est pas analysé : il est mis en cache et l’opération est autorisée.
   Remarque : le cache de fichiers à analyser est vidé et tous les fichiers sont de nouveau analysés dès qu’une modification est apportée à la configuration de l’analyse à l’accès par exemple, qu’un fichier EXTRA.DAT est ajouté ou que le cache est plein.