Сканер, запускаемый при обращении к файлу, внедряется в систему
на самом низком уровне (драйвер фильтра файловой системы),
выступает как часть системы (системная служба) и при обнаружениях
выдает о них уведомления через интерфейс.
В примере ниже описываются события, происходящие при попытке
открыть, закрыть или переименовать файл. Сканер прерывает операцию
и выполняет следующие действия.
- Сканер определяет необходимость проверки файла на основе
нижеприведенных критериев.
- Расширение файла соответствует конфигурации.
- Кэширование файла не выполнено.
- Файл не был исключен.
- Файл не был проверен ранее.
- Если файл отвечает критериям сканирования, он
проверяется.
- Если файл чистый, результат кэшируется и выдается разрешение на
чтение, запись или переименование файла.
- Если файл содержит угрозу, операция запрещается и выполняется
заданное действие.
- Результаты записываются в журнал активности, если в сканере
включено ведение журнала.
- Если файл не отвечает критериям сканирования, он не
проверяется. Он кэшируется, и операция разрешается.