Обнаружение новых вредоносных программ в современных антивирусных системах происходит с помощью нескольких методов: 25

1. Сигнатурное детектирование. 3 Антивирусная программа исследует хранящиеся на дисках или загружаемые из интернета файлы и сравнивает результаты исследования с сигнатурами, записанными в антивирусной базе. 3 В случае совпадения такой файл считается вредоносным. 3 Вирусные базы периодически обновляются, чтобы добавить в них сигнатуры новых угроз. 3
2. Эвристический анализ. 2 Антивирус контролирует все действия, которые может выполнить проверяемая программа. 2 При этом отслеживаются потенциально опасные действия, характерные для вирусов. 2 Эвристический анализатор способен обнаружить новые, неизвестные вирусы ещё до того, как они начали действовать. 2
3. Обнаружение изменений. 2 Ревизоры диска периодически сканируют содержимое дисков компьютера, записывая в свою базу данных контрольные суммы файлов и критически важных внутренних областей файловых систем. 2 При сканировании новые значения контрольных сумм сравниваются со старыми значениями. 2 Если при сравнении обнаруживаются изменения, ревизор диска отображает на экране предупреждающее сообщение. 2

Также в некоторых антивирусных системах используется обнаружение в изолированной среде: антивирус запускает программу или файл в виртуальной среде, прежде чем разрешить им войти в реальную систему. 5 Цель анализа — проверить назначение файла и наличие в нём какого-либо вредоносного поведения. 5