La ventaja del método de análisis en tiempo real es que un archivo se escanea con las últimas definiciones de virus antes de que se utilice. Con este enfoque, los virus pueden ser detectados antes de que pongan en peligro los datos.
Cuando un usuario abre un archivo desde el cliente, el proceso de análisis de virus funciona de la siguiente manera:
El servicio vscan determina si el archivo debe ser analizado según si el archivo se ha analizado previamente con las definiciones de virus actuales y si el archivo se ha modificado desde el último análisis.
Si no es necesario un análisis, el proceso termina y se le permite al usuario acceder al archivo
Si el análisis es necesario, el archivo se transfiere al motor de análisis.
Si la transferencia es correcta, el motor analiza el archivo utilizando las definiciones de virus actuales para determinar si el archivo está infectado.
Si la transferencia falla, el proceso continúa del siguiente modo:
El archivo se transfiere al siguiente motor de análisis que pueda analizar el archivo.
Si no existe un motor alternativo o no está disponible, el análisis de virus se considera fallido y es posible que no se otorgue acceso al archivo.
Si no se detecta un virus, el archivo se etiqueta con un sello de análisis y se le permite al cliente acceder al archivo.
Si se detecta un virus, el archivo se marca como en cuarentena. Un archivo en cuarentena no se puede leer, ejecutar ni cambiar de nombre pero se puede suprimir. El log del sistema registra el nombre del archivo en cuarentena y el nombre del virus, y, si la auditoría se ha activado, se crea el registro de auditoría con la misma información.