Controllo delle firme
Controllo delle firme è di gran lunga il metodo più comune utilizzato da programmi antivirus per rilevare minacce dannose. Il software ha un ampio database di virus noti e malware, e ogni volta che analizza un file confronta i risultati per le informazioni contenute nel database. Se il software rileva una corrispondenza di "firma", esso verrà avvisa l'utente o rimuoverlo subito, per lo più a seconda della gravità della minaccia. Alcune minacce possono essere messi in quarantena dal programma antivirus, pure. Fondamentalmente, crittografa file con codice diverso per renderla inutile anziché rimuoverlo del tutto. Naturalmente, con nuovi virus che esce ogni giorno, il database deve essere mantenuto completamente aggiornato per il software rilevare le minacce in entrata.
Monitoraggio del comportamento
Un altro modo per rilevare i file dannosi o programmi su un computer è attraverso il monitoraggio del suo comportamento. Programmi che tentano di accedere a determinate parti del registro di sistema CHIAVEPRINCIPALE o modificare un file eseguibile esistente (*.exe) per esempio, invierà una bandiera rossa fino, e il software intraprenderà azioni contro la minaccia, se necessario. Questo approccio è una buona da usare perché può quindi rilevare software dannoso che non è ancora stato aggiunto al database semplicemente dal modo in cui che agisce. Tuttavia, questo può portare anche per il programma avvisa l'utente su ogni singola cosa che trova, che può diventare irritante nel tempo. Software antivirus sta diventando sempre più avanzate per il secondo, però, e questi falsi avvisi sono essendo diminuiti ogni giorno.
Emulazione
Il terzo modo comune per i programmi antivirus di individuare minacce è quello di emulare il file in un ambiente sicuro creato dal software stesso. Per esempio, se un file sospetto o file è entrato il computer, il programma sarà prendere i file eseguibile del programma ed eseguirli dietro le quinte in un ambiente simulato per vedere cosa fa. Se il software rileva che è infatti dannoso e una minaccia, sarà poi o quarantena o Elimina il materiale nocivo prima danno reale può essere fatto. Questo metodo può anche innescare falsi avvisi, e a quel punto di solito lascia fino all'utente cosa fare con il file. Se l'utente riconosce e considera attendibile il programma, il software antivirus sarà lasciate che rimanga. Se l'utente sceglie per il programma di agire contro di esso, verrà rimosso la minaccia percepita.