Elk virus heeft unieke kenmerken in zijn code. Antivirusbedrijven analyseren deze virussen en extraheren deze unieke codefragmenten (de handtekeningen). Wanneer een nieuw bestand wordt gescand, vergelijkt de antivirussoftware de inhoud van het bestand met de database met bekende viruskenmerken. Als er een match wordt gevonden, markeert de software het bestand als geïnfecteerd.

Het is belangrijk op te merken dat:

* Handtekeningen zijn niet waterdicht: Geavanceerde malware kan polymorf zijn (de code wijzigen om detectie te voorkomen) of metamorf (de code volledig reorganiseren met behoud van functionaliteit). Deze technieken maken op handtekeningen gebaseerde detectie minder effectief.

* Zero-day-exploits: Handtekeningen worden gemaakt *nadat* een virus is ontdekt. Dit betekent dat nieuwe virussen (zero-day exploits) in eerste instantie detectie kunnen omzeilen totdat hun handtekeningen worden toegevoegd aan antivirusdatabases.

* Heuristiek en gedragsanalyse: Moderne antivirussoftware vertrouwt naast op handtekeningen gebaseerde detectie ook op heuristiek (het analyseren van codegedrag) en gedragsanalyse (het monitoren van programma-acties) om deze beperkingen te bestrijden. Deze technieken helpen zelfs onbekende malware te detecteren.

Kortom, een virushandtekening is een cruciaal element bij antivirusdetectie, maar het is slechts een onderdeel van een groter, complexer systeem.