Основное отличие между сигнатурным и эвристическим анализом вирусов заключается в принципе работы:

1. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиске вирусов путём сравнения файлов с этими чертами. 1 Сигнатурой вируса считается совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле. 1
2. Эвристический анализ основывается на наборе эвристик (предположений, статистическая значимость которых подтверждена опытным путём) о характерных признаках вредоносного и, наоборот, безопасного исполняемого кода. 3 Каждый признак кода имеет определённый вес (число, показывающее важность и достоверность этого признака). 3 На основании суммарного веса, характеризующего содержимое объекта, эвристический анализатор вычисляет вероятность содержания в нём неизвестного вредоносного объекта. 3 Если эта вероятность превышает некоторое пороговое значение, то выдаётся заключение о том, что анализируемый объект является вредоносным. 3

Таким образом, сигнатурный анализ ориентирован на выявление известных вирусов путём сравнения файлов с их сигнатурами, а эвристический анализ позволяет обнаруживать как известные, так и неизвестные вирусы. 2