即时扫描方法的优势在于:可在使用文件之前使用最新病毒定义对其进行扫描。通过使用此方法,可在病毒危害数据前检测到它们。
如果用户通过客户机打开文件,病毒扫描进程操作如下所示:
vscan 服务根据文件是否之前已使用最新病毒定义进行过扫描以及文件自上次扫描后是否修改过而决定是否需要对文件进行扫描。
如果无需扫描,则进程结束,允许该用户访问此文件。
如果需要扫描,则将文件传输到扫描引擎。
如果传输成功,则引擎使用当前病毒定义扫描文件,以确定文件是否被感染。
如果传输失败,进程以以下方式继续:
将文件传输到下一个可以执行文件扫描的可用扫描引擎。
如果不存在替代引擎或引擎不可用,则认为病毒扫描失败,可能拒绝访问该文件。
如未检测到病毒,将会在文件上标记一个扫描戳记,并允许客户机访问文件。
如果检测到病毒,文件将被标记为隔离状态。被隔离的文件不能读取,执行或者重命名,但可以删除。系统日志会记录被隔离文件的文件名和病毒名称,如果已启用审计,还会创建含有相同信息的审计记录。