* Handtekeninggebaseerde detectie: Dit is de traditionele methode. Het antivirusprogramma houdt een database bij met bekende malwaresignaturen (unieke codepatronen). Wanneer een bestand of proces wordt uitgevoerd, vergelijkt de antivirus dit met deze database. Als er een match wordt gevonden, wordt het bestand geïdentificeerd als malware.

* Heuristische analyse: Deze methode analyseert het gedrag en de structuur van de code om verdachte patronen te identificeren, zelfs als de specifieke code nog niet eerder is gezien. Er wordt gezocht naar kenmerken die malware gemeen hebben, zoals pogingen om toegang te krijgen tot gevoelige gegevens, ongebruikelijke systeemaanpassingen of ongebruikelijke netwerkactiviteit.

* Gedragsanalyse: Dit gaat verder dan heuristische analyse door de acties van het programma in de loop van de tijd te monitoren. Er wordt gezocht naar kwaadaardig gedrag, zoals overmatig gebruik van bronnen, zelfreplicatie of pogingen om detectie te omzeilen.

Hoewel moderne antivirusprogramma's een combinatie van deze methoden gebruiken, blijft op handtekeningen gebaseerde detectie een kerncomponent. Het uitsluitend vertrouwen op handtekeningen wordt echter minder effectief tegen geavanceerde, polymorfe en zero-day-malware. Het toegenomen gebruik van heuristische en gedragsanalyse is cruciaal om deze beperking aan te pakken.