按访问扫描及其用途
按访问扫描程序挂接到系统的最低级别(文件系统过滤器驱动程序),并在文件首次进入您的系统时在该级别扫描文件。按访问扫描程序将作为系统的一部分运行(系统服务),并在出现检测项时通过界面发送通知。
尝试打开、关闭或重命名文件时,扫描程序将拦截操作,并执行下列操作。
- 扫描程序依据如下标准确定是否应扫描该文件:
- 该文件的扩展名与配置相匹配。
- 尚未缓存该文件。
- 尚未排除该文件。
- 以前未扫描该文件。
- 如果文件符合扫描标准,则扫描程序会通过将文件中的信息与当前加载的 DAT 文件中的已知恶意软件特征码来扫描该文件。
- 如果文件是清洁的,则会缓存扫描结果,并授予读、写或重命名操作权限。
- 如果文件包含威胁,则操作将被拒绝,并执行已配置的操作。例如:
- 如果需要清理文件,则清理过程由当前加载的 DAT 文件确定。
- 扫描结果将记录到活动日志(如果扫描程序被配置为这样做)。
- 将显示“按访问扫描消息”警报,其中描述了文件名和执行的操作(如果扫描程序被配置为这样做)。
- 如果文件不满足扫描要求,则不会对其进行扫描。而是会缓存该文件并授予操作权限。
附注: 例如,当按访问扫描配置已更改、EXTRA.DAT 文件已添加或缓存为满时,扫描文件缓存被清除,所有文件重新扫描。