Как правило, антивирусное программное обеспечение устанавливает драйвер фильтра, который подключается к драйверу файловой системы в ядре Windows.Таким образом, все запросы к драйверу файловой системы сначала доставляются в фильтр, который затем определяет, следует ли переслать или отклонить запрос.
Обратите внимание, что перехват Windows API или любого другого API в пользовательском режиме обычно недостаточен, так как вредоносное ПО всегда может отправлять вызовы ядру напрямую, минуя подключенный API.