Antivirussoftware werkt door bestanden en processen op een computer te vergelijken met een voortdurend bijgewerkte database van deze handtekeningen. Als er een match wordt gevonden, kan de software het bestand of proces met vertrouwen als schadelijk identificeren en actie ondernemen (bijvoorbeeld in quarantaine plaatsen, verwijderen, de uitvoering blokkeren).

Er zijn verschillende soorten handtekeningen:

* Bestandshandtekeningen: Dit zijn handtekeningen die zijn afgeleid van de inhoud van het schadelijke bestand zelf. Ze kunnen zich richten op specifieke delen van de code, tekenreeksen in de code of zelfs op de algehele structuur van het bestand.

* Gedragskenmerken: Deze zijn minder direct en detecteren kwaadaardige *activiteit* in plaats van specifieke bestandsinhoud. Ze zoeken naar verdachte acties, zoals pogingen om systeembestanden te wijzigen, netwerkverbindingen met bekende command-and-control-servers of ongebruikelijke geheugentoegangspatronen. Deze zijn cruciaal voor het detecteren van polymorfe malware (die de code verandert om op handtekeningen gebaseerde detectie te omzeilen).

* Heuristische handtekeningen (of heuristieken): Dit zijn regels of patronen die kenmerken van malware beschrijven in plaats van specifieke bytereeksen. Ze worden gebruikt om nieuwe of onbekende malware te detecteren die nog geen specifieke handtekening heeft. Ze zijn vaak minder betrouwbaar, maar bieden wel enige bescherming tegen zero-day-aanvallen.

De effectiviteit van op handtekeningen gebaseerde detectie hangt af van de kwaliteit en kwantiteit van handtekeningen in de antivirusdatabase. Hoewel effectief tegen bekende malware, strijdt de op handtekeningen gebaseerde detectie tegen zero-day exploits en polymorfe/metamorfe malware die voortdurend hun code veranderen om detectie te voorkomen. Moderne antivirussoftware combineert vaak op handtekeningen gebaseerde detectie met heuristische analyse, gedragsmonitoring en andere technieken voor een robuustere bescherming.