質問
mv コマンドの実行時にリアルタイムスキャンが動作している時と、動作していない時があるようです。
回答
mv コマンドの実行時には以下の2つの動作が御座います。
1 Source と Destination が同一ファイルシステム内の場合 (i-node が変わらない場合)
→ rename() システムコールを使用しますので eicar ファイル等を別のディレクトリの
移動時にリアルタイムスキャンはかかりません。
リアルタイムスキャンは、システムコールが「open」、「close」、「execve」などの際に
かかりますが、mv はファイルを open したり、 close したりしない為、mv コマンドで
ファイルを移動する時は、リアルタイムスキャンの処理が行われません。
また、cp や cat コマンドの場合はファイルを open しますので、リアルタイムスキャンは
行われます。
但し、mv コマンドがファイルを開くのではなく、デスクトップマネージャやウィンドウ
マネージャがファイルを触っている時、それらにファイルを mv する際にはリアル
タイムスキャンがかかります。
(# mv /opt/f-secure/eicar.com /root/Desktop 時など)
2 Source と Destination が同一ファイルシステム内でない場合 (i-node が変わる場合)
→ Source および Destination 上のファイルシステム上でファイルを open する必要がある
ので、この時点でリアルタイムスキャンが実施されます。
※ 同一のファイルシステムかどうかは、df コマンドで確認できます。