Поведенческий анализ в современных антивирусах работает следующим образом: компоненты поведенческого контроля осуществляют мониторинг действий всех приложений в системе и блокируют действия, которые угрожают безопасности системы и её пользователям. 2

Поведенческий анализ содержит базу данных наборов правил, которые определяют, какие действия должны быть разрешены или заблокированы для каждой программы. 2 Система защиты выполняет контроль и прекращает работу программ, которые могут выполнить потенциально опасное действие. 2

Антивирус создаёт «песочницу» (sandbox) — изолированную среду, где запускает подозрительную программу. 1 Он наблюдает за действиями программы, например: 1

• попытки модифицировать системные файлы; 1
• запуск сетевых соединений без разрешения; 1
• изменение других программ или внедрение в процессы. 1

Если определённое правило для действия программы в базе данных существует, оно используется для того чтобы либо разрешить, либо заблокировать действие. 2 Если какое-либо действие решено заблокировать, исполнение программного потока модифицируется таким образом, чтобы действие не выполнялось, и все параметры приложения меняются для того чтобы гарантировать безопасность. 2 Если действие программы разрешено набором правил, его выполнение происходит без изменений со стороны защиты. 2

Иногда определённого правила для действия программы в базе данных не существует. 2 В таких случаях, в зависимости от настроек компонентов поведенческого контроля, пользователю либо предлагается принять решение, либо действие исполняется или блокируется в автоматическом режиме на основании информации эвристического анализа. 2