Der Windows Dateischutz verwendet zwei Strategien.

Der erste Mechanismus läuft im Hintergrund. Wenn eine Datei in einem geschützten Ordner geändert wird, ermittelt der Dateischutz, welche Datei geändert wurde, und ob sie geschützt ist. Ist dies der Fall sucht der Windows-Dateischutz nach der Dateisignatur in einer Katalogdatei, und prüft, ob die neue Datei die richtige Microsoft-Version hat. Bei einem negativen Ergebniss, wird die Datei aus dem Ordner Dllcache ersetzt und eine Information in Form eines Dialogfeldes ausgegeben.

Der zweite Mechanismus ist das Systemdatei-Überprüfungsprogramm (Sfc.exe). Am Ende der Installation im GUI-Modus durchsucht das Programm alle geschützten Dateien, und prüft ob sie nicht geändert wurden.Es werden auch alle Katalogdateien überprüft, Falls Fehler entdeckt werden, benennt der Windows-Dateischutz die Katalogdatei um und und ersetzt diese aus dem Ordner Dllcache. Mit diesem Tool können alle geschützten Dateien überprüft werden.

Es wird auch der Ordner %Systemroot%\System32\Dllcache geprüft und aufgefüllt.

Falls der Ordner Dllcache beschädigt ist kann mit sfc /scanonce oder sfc /scanboot eine Reparatur eingeleitet werden. Geschützt sind: SYS-, DLL-, EXE-, TTF-, FON- und OCX-Dateien. 

SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]

/SCANNOW Überprüft sofort alle geschützten Systemdateien.
/SCANONCE Überprüft alle geschützten Systemdateien einmal beim nächsten Neustart.
/SCANBOOT Überprüft alle geschützten Systemdateien bei jedem Start.
/REVERT Setzt scan auf die Standardeinstellungen zurück.
/PURGECACHE Leert den Dateicache.
/CACHESIZE=x Legt die Dateicachegröße fest.