リアルタイムスキャン方法の利点は、ファイルが使用される前に最新のウイルス定義でスキャンされることです。この方法を使用することで、ウイルスがデータを危険にさらす前にそれらを検出できます。
ユーザーがクライアントからファイルを開くと、ウイルススキャンプロセスが次のように動作します。
vscan サービスは、そのファイルが最新のウイルス定義ですでにスキャンされているかどうか、およびそのファイルが最後にスキャンされた以後に変更されたかどうかに基づいて、ファイルのスキャンが必要かどうかを判断します。
スキャンが必要ない場合は、プロセスが終了し、ユーザーはファイルへのアクセスが許可されます。
スキャンが必要である場合は、ファイルがスキャンエンジンに転送されます。
転送が正常に完了すると、エンジンは現在のウイルス定義を使用してスキャンして、ファイルが感染しているかどうかを判断します。
転送に失敗した場合は、次のようにプロセスが続行します。
ファイルスキャンを実行できる次のスキャンエンジンに、ファイルが転送されます。
代替のエンジンが存在しない場合や使用できない場合は、ウイルススキャンが失敗したとみなされ、ファイルへのアクセスが拒否される可能性があります。
ウイルスが検出されない場合は、ファイルがスキャンスタンプでタグ付けされ、クライアントはそのファイルへのアクセスを許可されます。
ウイルスが検出された場合、そのファイルには隔離されたことを示すマークが付けられます。隔離されたファイルの読み取り、実行、または名前の変更はできませんが、削除はできます。システムログには、隔離されたファイルの名前とウイルスの名前が記録され、さらに監査が有効になっていた場合は、同じ情報が含まれた監査レコードが作成されます。