En genomsökning vid läsning kommer in i systemet på de lägsta nivåerna (filsystemets filterdrivrutin) och genomsöker filer där de först tar sig in i systemet. Genomsökningen agerar som en del av systemet (systemtjänst), och levererar meddelanden via gränssnittet när identifieringar sker.

När det görs ett försök att öppna, stänga eller byta namn på en fil avbryter genomsökningen agerandet och vidtar följande åtgärder.

1. Genomsökningen fastställer om filen kan genomsökas utifrån följande villkor:
   
   • Filtillägget matchar konfigurationen.
   • Filen har inte placerats i cacheminnet.
   • Filen har inte undantagits.
   • Filen har inte sökts igenom tidigare.
2. Om filen uppfyller genomsökningsvillkoren, genomsöks den genom att informationen i filen jämförs med signaturer för kända farliga program i de aktuella DAT-filerna.
   
   • Om filen är ren flyttas resultatet till cacheminnet och läs-, skriv- eller namnändringsåtgärd beviljas.
   • Om filen innehåller ett hot nekas åtgärden och konfigurerad åtgärd vidtas. Exempel:
     
     • Om filen måste rensas bestäms rensningsprocessen av de aktuella DAT-filerna.
     • Resultaten registreras i aktivitetsloggen, om genomsökningen har konfigurerats för att göra det.
     • Meddelanden för sökning vid användning-varningen visas med en beskrivning av filnamnen och vilken åtgärd som vidtagits, om genomsökningen har konfigurerats för att göra det.
3. Om filen inte uppfyller genomsökningskraven söks den inte igenom. Den flyttas till cacheminnet och åtgärden beviljas.
   OBS: Filcachen tas bort och alla filer genomsöks på nytt när exempelvis konfigureringen av genomsökningen vid läsning ändras, när en EXTRA.DAT-fil läggs till eller när cacheminnet är fullt.