Un analyseur antivirus utilise deux techniques pour détecter les virus : les signatures et l'analyse heuristique. Une signature de virus est un simple schéma binaire qui se trouve dans un fichier infecté par un virus. L'analyseur recherche ces schémas à l'aide des informations contenues dans ses fichiers de signatures de virus (DAT). Cette approche ne permet toutefois pas de détecter un nouveau virus, car sa signature n'est pas encore connue. La technique de l'analyse heuristique est donc employée pour détecter les virus inconnus.
Les programmes porteurs d'un virus présentent généralement des caractéristiques distinctives. Ils peuvent tenter d'effectuer des modifications de fichier non sollicitées, d'appeler des clients de messagerie ou d'utiliser d'autres moyens d'autopropagation. L'analyseur recherche donc ces types d'instructions dans le code de programme. Il recherche également les comportements légitimes, tels que les demandes de confirmation de l'utilisateur avant toute action, afin d'éviter de créer de fausses alarmes.
Certains virus sont cryptés pour tenter d'échapper à la détection. Chaque instruction donnée à l'ordinateur est un simple numéro binaire, mais l'ordinateur n'utilise pas tous les numéros possibles. L'analyseur peut détecter un virus chiffré en recherchant les numéros inattendus dans un fichier programme.
Ces techniques permettent à l'analyseur de détecter les virus connus, ainsi que la plupart des nouveaux virus et des variantes.