Правила политики сканера вызываются при каждом направленном к ADF
или AEF запросе на открытие или выполнение. Заражение файловым вирусом
происходит при выполнении зараженного файла, тогда как заражение макровирусами
происходит при чтении зараженного документа. Таким образом, каждый
запрос от AEF к ADF на чтение или выполнение файла, если файл сначала
был проверен последней версией сканера и не было обнаружено заражения,
должен иметь только положительную оценку от ADF.
Следовательно, если запросами являются execute, read-open или read-write-open,
то правилами принятия решения будут следующие :
Если файл не был проверен с последней версией сканера (например, если
scan-attribute имеет значение "unscanned" или номер
версии меньше, чем содержащийся в базе данных образцов вирусов), то
файл будет проверен на предмет вероятного наличия вирусного заражения.
В этом случае, если заражения не обнаружено, решение о предоставлении
доступа будет только положительным. Атрибуту MS-scan-result будет
назначено значение номера текущей версии, если решение о предоставление
доступа было положительным, в противном случае оно будет изменено
на "rejected".
Если атрибут MS-scan-result имеет значение эквивалентное текущей версии,
то решение о предоставлении доступа будет также положительным.
Если атрибут MS-scan-result имеет значение "rejected",
но у текущего процесса установлен параметр MS-trusted, то решение
о предоставлении доступа будет положительным. То-есть, только доверенные
программы (например, антивирусные средства) могут получить доступ
к "rejected" файлам.
Для изменения типов запроса доступа write-open, append-open и truncate
нет определённых правил принятия решений. Но не смотря на это, для
них и для read-write-open, значение scan-atribute сбрасывается в "unscanned",
так как они могут быть и инфицированы и нет.
Интеграция правил сканирования со средством принятия решения о доступе
(ADF), не оказывает существенного влияния на работу системы в целом.
Для прочтения файла, при запросе на чтение (или чтение-запись), вызываются
правила сканирования и, будучи единожды вызваны, остаются резидентно
для последующих операций чтения. Кроме того, при открытии на execute-,
read-open и read-write-запросах, файлы проверяются только на предмет
изменения или соответствия версии сканера, установленного в системе
(то есть, если вирусная база данных образца была дополнена и получила
новый номер версии). Проблематичными являются комплексные файлы, содержащие
и данные и код, которые могут быть проверены чаще, чем это необходимо.
К этой проблеме мы вернёмся позднее.
