Сканер, запускаемый при доступе, внедряется в систему на самом низком уровне (драйвер фильтра файловой системы) и сканирует файлы на входе в систему. Сканер при доступе выступает как часть системы (системная служба) и при обнаружениях выдает о них уведомления через интерфейс.

При попытке открытия, закрытия или переименования файла сканер перехватывает операцию и выполняет следующие действия.

1. Сканер определяет необходимость сканирования файла на основе следующих критериев:
   
   • расширение файла соответствует конфигурации;
   • кэширование файла не выполнено;
   • файл не был исключен;
   • файл не сканировался ранее.
2. Если файл отвечает критериям сканирования, он сканируются путем сравнения содержащейся в нем информации с известными сигнатурами вредоносных программ в загруженных файлах DAT.
   
   • Если угрозы не обнаруживаются, результат кэшируется и выдается разрешение на чтение, запись или переименование файла.
   • При обнаружении угрозы в файле операция запрещается и выполняется заданное действие. Пример.
     
     • Необходимость очистки файла определяется загруженными файлами DAT.
     • Результаты записываются в журнал активности, если в сканере включено журналирование.
     • Если для сканера задана соответствующая настройка, отображается предупреждение Сообщения проверки при доступе с именем файла и описанием выполненного действия.
3. Если файл не отвечает критериям сканирования, он не сканируется. Он кэшируется и операция разрешается.
   ПРИМЕЧАНИЕ: Кэш сканирования очищается и все содержащиеся в нем файлы повторно сканируются при изменении конфигурации проверки при доступе, добавлении файла EXTRA.DAT, а также при заполнении кэша.