按访问扫描及其用途

按访问扫描程序挂接到系统的最低级别(文件系统过滤器驱动程序),并在文件首次进入您的系统时在该级别扫描文件。按访问扫描程序将作为系统的一部分运行(系统服务),并在出现检测项时通过界面发送通知。

尝试打开、关闭或重命名文件时,扫描程序将拦截操作,并执行下列操作。

  1. 扫描程序依据如下标准确定是否应扫描该文件:
    • 该文件的扩展名与配置相匹配。
    • 尚未缓存该文件。
    • 尚未排除该文件。
    • 以前未扫描该文件。
  2. 如果文件符合扫描标准,则扫描程序会通过将文件中的信息与当前加载的 DAT 文件中的已知恶意软件特征码来扫描该文件。
    • 如果文件是清洁的,则会缓存扫描结果,并授予读、写或重命名操作权限。
    • 如果文件包含威胁,则操作将被拒绝,并执行已配置的操作。例如:
      • 如果需要清理文件,则清理过程由当前加载的 DAT 文件确定。
      • 扫描结果将记录到活动日志(如果扫描程序被配置为这样做)。
      • 将显示“按访问扫描消息”警报,其中描述了文件名和执行的操作(如果扫描程序被配置为这样做)。
  3. 如果文件不满足扫描要求,则不会对其进行扫描。而是会缓存该文件并授予操作权限。
    附注: 例如,当按访问扫描配置已更改、EXTRA.DAT 文件已添加或缓存为满时,扫描文件缓存被清除,所有文件重新扫描。

按访问扫描及其用途