O mecanismo de varredura ao acessar liga-se ao sistema nos níveis mais baixos (driver de filtro do sistema de arquivos) e faz a varredura de arquivos onde entram primeiro no sistema. O mecanismo de varredura ao acessar age como parte do sistema (serviço do sistema) e envia notificações por meio da interface quando ocorrem detecções.

Quando ocorrem tentativas de abrir, fechar ou renomear um arquivo, o mecanismo de varredura intercepta a operação e executa as seguintes ações:

1. O mecanismo de varredura determina se o arquivo deve ser examinado com base nestes critérios:
   
   • A extensão do arquivo corresponde à configuração.
   • O arquivo não foi armazenado em cache.
   • O arquivo não foi excluído.
   • O arquivo não foi examinado anteriormente.
2. Se o arquivo atender ao critério de varredura, ele será examinado por comparação com as informações do arquivo para assinaturas de programas de malware conhecidos nos arquivos DAT atualmente carregados.
   
   • Se o arquivo estiver limpo, o resultado será armazenado em cache e a operação de leitura, gravação ou renomeação será autorizada.
   • Se o arquivo contiver uma ameaça, a operação será negada e a ação configurada será executada. Por exemplo:
     
     • Se for necessário limpar o arquivo, este processo será determinado pelos arquivos DAT atualmente carregados.
     • Os resultados serão armazenados no registro de atividade, se o mecanismo de varredura tiver sido configurado para isso.
     • O alerta de Mensagens da varredura ao acessar será exibido com a descrição do nome do arquivo e da ação realizada, se o mecanismo de varredura tiver sido configurado para isso.
3. Se não atender aos requisitos de varredura, o arquivo não será examinado. Ele será armazenado em cache e a operação será autorizada.
   Nota: O cache do arquivo de varredura será limpo e todos os arquivos serão examinados novamente sempre que, por exemplo, a configuração da varredura ao acessar for alterada, um arquivo EXTRA.DAT for adicionado ou quando o cache estiver cheio.