Skaner działający podczas uzyskiwania dostępu podłącza się do najniższych poziomów systemu (sterownika filtru systemu plików), skanując pliki w momencie, gdy trafiają do systemu. Działa on jako część systemu (usługa systemowa) i wysyła powiadomienia przez interfejs użytkownika, jeśli wystąpi zagrożenie.

Podczas próby otwarcia, zamknięcia lub zmiany nazwy pliku skaner przechwytuje tę operację i podejmuje poniższe działania.

1. Na podstawie poniższych kryteriów skaner określa, czy plik powinien być skanowany:
   
   • Rozszerzenie pliku jest zgodne z określonym w konfiguracji.
   • Plik nie znajduje się w pamięci podręcznej.
   • Plik nie został wykluczony.
   • Plik nie został wcześniej przeskanowany.
2. Jeśli plik odpowiada kryteriom skanowania, zostaje przeskanowany, co polega na porównaniu informacji zawartych w pliku z sygnaturami znanego złośliwego oprogramowania znajdującymi się w załadowanych plikach DAT.
   
   • Jeśli plik jest czysty, informacja o tym umieszczana jest w pamięci podręcznej i operacja odczytu, zapisu lub zmiany nazwy jest umożliwiana.
   • Jeśli plik stanowi zagrożenie, operacja zostaje zabroniona i podejmowana jest skonfigurowana akcja. Na przykład:
     
     • Jeśli plik ma zostać wyczyszczony, proces czyszczenia jest określony przez obecnie załadowane pliki DAT.
     • Wyniki skanowania są zapisywane w dzienniku operacji, jeśli skaner został tak skonfigurowany.
     • Jeśli skaner został tak skonfigurowany, zostanie wyświetlony alert Komunikaty skanowania podczas uzyskiwania dostępu z opisem zawierającym nazwę pliku i podjęte działanie.
3. Jeśli plik nie odpowiada kryteriom skanowania, nie jest skanowany: Jest on umieszczany w pamięci podręcznej i operacja zostaje umożliwiona.
   Uwaga: Pamięć podręczna skanowania plików jest opróżniana, a pliki są ponownie skanowane między innymi w takich przypadkach, jak zmiana konfiguracji skanowania podczas uzyskiwania dostępu, dodanie pliku EXTRA.DAT lub zapełnienie pamięci podręcznej.