Análisis con detección heurística

El analizador antivirus utiliza dos técnicas para detectar virus: firmas y análisis con detección heurística. Una firma de virus no es más que un patrón binario que se encuentra en un archivo infectado por un virus. Con la información que se encuentra en los archivos de definición de virus (DAT), el analizador busca esos patrones. Este método no permite detectar los virus de reciente aparición, puesto que su firma aún no se conoce. Por tanto, se emplea la técnica conocida como "análisis con detección heurística" para detectar virus desconocidos.

Los programas que portan un virus tienen con frecuencia unas características peculiares. Es posible que intenten modificar archivos sin pedir permiso, invocar clientes de correo o usar otros medios para autopropagarse. El analizador analiza el código de programa para detectar estos tipos de instrucciones informáticas. El analizador también busca comportamiento legítimo, como preguntar al usuario antes de realizar la acción, con lo que se evita que se generen falsas alarmas.

Para tratar de evitar la detección, algunos virus se cifran. Las instrucciones informáticas no son otra cosa que números binarios, pero el equipo no utiliza todos los números posibles. Mediante la búsqueda de números inesperados en un archivo de programa, el analizador puede detectar los virus cifrados.

Al usar estas técnicas, el analizador puede detectar tanto virus conocidos como muchos nuevos y variantes.