L'avantage de la méthode d'analyse en temps réel est qu'un fichier est analysé avec les dernières définitions de virus avant d'être utilisé. Avec cette approche, les virus peuvent être détectés avant qu'ils ne puissent compromettre les données.
Lorsqu'un utilisateur ouvre un fichier à partir du client, le traitement fonctionne analyse antivirus comme suit :
le service vscan détermine si le fichier doit être analysé, selon que le fichier a déjà été analysé avec les signatures de virus actuelles et qu'il a été modifié ou non depuis sa dernière analyse.
En cas de scannage ne soit pas nécessaire, puis, le processus se termine et l'utilisateur est autorisé à accéder au fichier
En cas de scannage est nécessaire, le fichier est transféré vers le moteur d'analyse.
Si le transfert est établie, le moteur analyse le fichier à l'aide des définitions de virus actuelles afin de déterminer si le fichier est infecté.
Si le transfert échoue, le processus se poursuit de la manière suivante :
Il est transféré vers le moteur de détection disponible suivant le balayage des fichiers, qui peuvent exécuter la.
En l'absence d'avenant, ou si aucune autre sont disponibles, les moteurs analyse antivirus est considérée comme étant en échec et l'accès au fichier risquent d'être refusées.
Si le fichier n'est pas infecté, il est marqué avec un timbre d'analyse et le client est autorisé y à accéder.
Si un virus est détecté, le fichier est marqué comme étant mis en quarantaine. Un fichier mis en quarantaine ne peut pas être lu, exécuté ou renommé, mais il peut être supprimé. Le journal système enregistre le nom du fichier mis en quarantaine et le nom du virus et, si l'audit a été activé, un enregistrement d'audit avec les mêmes informations est créé.