Der Windows Dateischutz verwendet zwei Strategien.
Der erste Mechanismus läuft im Hintergrund. Wenn eine Datei in einem geschützten Ordner geändert wird, ermittelt der Dateischutz, welche Datei geändert wurde, und ob sie geschützt ist. Ist dies der Fall sucht der Windows-Dateischutz nach der Dateisignatur in einer Katalogdatei, und prüft, ob die neue Datei die richtige Microsoft-Version hat. Bei einem negativen Ergebniss, wird die Datei aus dem Ordner Dllcache ersetzt und eine Information in Form eines Dialogfeldes ausgegeben.
Der zweite Mechanismus ist das Systemdatei-Überprüfungsprogramm (Sfc.exe). Am Ende der Installation im GUI-Modus durchsucht das Programm alle geschützten Dateien, und prüft ob sie nicht geändert wurden.Es werden auch alle Katalogdateien überprüft, Falls Fehler entdeckt werden, benennt der Windows-Dateischutz die Katalogdatei um und und ersetzt diese aus dem Ordner Dllcache. Mit diesem Tool können alle geschützten Dateien überprüft werden.
Es wird auch der Ordner %Systemroot%\System32\Dllcache geprüft und aufgefüllt.
Falls der Ordner Dllcache beschädigt ist kann mit sfc /scanonce oder sfc /scanboot eine Reparatur eingeleitet werden. Geschützt sind: SYS-, DLL-, EXE-, TTF-, FON- und OCX-Dateien.
SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]
| /SCANNOW | Überprüft sofort alle geschützten Systemdateien. |
| /SCANONCE | Überprüft alle geschützten Systemdateien einmal beim nächsten Neustart. |
| /SCANBOOT | Überprüft alle geschützten Systemdateien bei jedem Start. |
| /REVERT | Setzt scan auf die Standardeinstellungen zurück. |
| /PURGECACHE | Leert den Dateicache. |
| /CACHESIZE=x | Legt die Dateicachegröße fest. |