Принципы проверки при обращении к файлу

Сканер, запускаемый при обращении к файлу, внедряется в систему на самом низком уровне (драйвер фильтра файловой системы), выступает как часть системы (системная служба) и при обнаружениях выдает о них уведомления через интерфейс.

В примере ниже описываются события, происходящие при попытке открыть, закрыть или переименовать файл. Сканер прерывает операцию и выполняет следующие действия.


  1. Сканер определяет необходимость проверки файла на основе нижеприведенных критериев.
    • Расширение файла соответствует конфигурации.
    • Кэширование файла не выполнено.
    • Файл не был исключен.
    • Файл не был проверен ранее.
  2. Если файл отвечает критериям сканирования, он проверяется.
    • Если файл чистый, результат кэшируется и выдается разрешение на чтение, запись или переименование файла.
    • Если файл содержит угрозу, операция запрещается и выполняется заданное действие.
    • Результаты записываются в журнал активности, если в сканере включено ведение журнала.
  3. Если файл не отвечает критериям сканирования, он не проверяется. Он кэшируется, и операция разрешается.