Programy antywirusowe ewoluowały równolegle ze złośliwym kodem: bardziej złożone i wyrafinowane komputer się szkodniki, zręczny i szybciej się antywirusowego.
Pierwsze antywirusowe algorytmy były oparte na porównaniu ze standardem - często określane jako podpis algorytmy takie. Każdy wirus jest związany z podpisem lub maski. Z jednej strony, maska musiała być na tyle mała, że baza danych wszystkich takich masek nie są akceptowane groźne kwoty. Z drugiej strony, większy rozmiar podpisu, tym mniejsze prawdopodobieństwo fałszywych alarmów (gdy zainfekowany plik nie jest istotnie określona przez programy antywirusowe jako zainfekowane). W praktyce antywirusowe programiści wykorzystali długość maski 10-30 bajtów. Pierwsze znane oprogramowanie antywirusowe dla wielu podpisów, aby wykryć i leczyć wiele wirusów. Po otrzymaniu nowego wirusa, twórcy kodu analizowane i rozliczane unikalnej maski, które zostało dodane do bazy sygnatur wirusów i rozprzestrzeniać się aktualizacji na dyskietce. Jeśli przeskanować podejrzany plik antywirusowe znaleźć kod odpowiadający masce, badanie dopuszczone do zainfekowanego pliku. Opisany algorytm jest używany w większości oprogramowania antywirusowego na bieżąco. Wszystkie antywirusowe podpisy są dostępne w bazie danych - specjalnym magazynem, który przechowuje złośliwe oprogramowanie antywirusowe maski. Skuteczność poszukiwania opartą na sygnaturach zależy od ilości bazy wirusów oraz częstotliwość uzupełniania. Dlatego dziś, anty-wirus deweloperzy wydają aktualizacje swoich baz danych co najmniej raz dziennie. Aby zwiększyć szybkość dostawy tych aktualizacji na komputerach użytkowników korzystających z Internetu.
W połowie lat 90. były pierwsze wirusy polimorficzne, zmieniający swoje ciało do nieprzewidywalny algorytmów zaliczek, co znacznie komplikowało analizę i przygotowywania sygnatur kodu wirusa. W celu zwalczania wirusów, takich jak wyszukiwanie sygnatur metody został uzupełniony w drodze wykonywania symulacji. Innymi słowy, anty-wirus nie badała podejrzany plik statycznie i prowadził ją w specjalnym środowisku sztucznym - tzw piaskownicy. Ta piaskownica jest całkowicie bezpieczny, gdyż wirus jest tam nie można mnożyć, a zatem być szkodliwe. Dodatkowo(promocje), wirus nie jest w stanie odróżnić to od środowiska piaskownicy. W tej wirtualnej przestrzeni antywirusowe obserwował obiekt w badaniu, czekał aż kod wirusa do odszyfrowania i pobiegł podpis metody wyszukiwania.
Kiedy liczba przekracza kilkaset wirusów, eksperci antywirusowe rozważał pomysł wykrywania szkodliwych programów, których istnienie oprogramowania antywirusowego nie wie (brak podpisów). Wynikiem tego jest tak zwane analizatory heurystyczne.
Analizator heurystyczny jest zestaw procedur, które analizują kod z plików wykonywalnych, makr, skryptów, pamięci, sektorów startowych, lub w celu wykrycia wszystkich różnych typów złośliwego oprogramowania.
Istnieją dwie podstawowe metody działania analizatora.
Statyczna metoda, która polega na znalezieniu wspólnych krótkie podpisy, które są obecne w większości wirusów (tzw. podejrzane polecenia). Na przykład duża liczba skanowanie antywirusowe na maska * exe, otworzyć znaleziony plik, zapisuje do pliku otwartego. Zadaniem heurystyki w tym przypadku - aby znaleźć podpisy, które odzwierciedlają tych działań. Następnie analiza podpisów znaleźć, a jeśli okaże szereg koniecznych i wystarczających podejrzanych poleceń, a następnie zdecydował, że plik jest zainfekowany. Dużą zaletą tej metody - łatwość wdrożenia i wysokie obroty, ale poziom wykrywania nowych szkodliwych programów z dość niskim poziomie.
Metoda dynamiczna pojawił się równocześnie z wprowadzeniem antywirusowego oprogramowania emulacji procesora poleceń (więcej emulator opisane poniżej). Istotą tej metody jest emulowanie wykonanie programu i rejestrowanie wszelkich podejrzanych działań programu. Na podstawie niniejszego protokołu decyduje o możliwej infekcji programu antywirusowego. W przeciwieństwie do statycznych, dynamicznych metoda jest bardziej ambitny z zasobów komputera, ale wskaźnik wykrywalności i jest znacznie wyższa.
Drugi podstawowy mechanizm do czynienia z pasożytami komputerowych pojawił się w połowie lat 90. - analiza heurystyczna. Metoda ta jest znacznie utrudnione ze względu na emulatorze, ale w wyniku swojej pracy analizuje kod nie jest podejrzany plik, a akcja. Tak więc, aby odtworzyć, wirus musi złożyć kopię w pamięci swego ciała, aby otworzyć inne pliki wykonywalne, i spalić jego ciało z powrotem, napisz do sektorów dysku twardego, itp. Typowe działania są różne, i robaki - jest dostęp do książki adresowej i skanuje dysku twardego w celu wykrycia wszelkich adresów e-mail. Badając te działania, analizator heurystyczny wykrywa nawet podpisy malware nie są jeszcze znane(promocja).
Programy antywirusowe zainstalowane na użytkownika, aby okresowo sprawdzać aktualizacje na serwerze sieci Web antywirusowego firmy, a jak tylko aktualizacja, oni przepisać go natychmiast i zainstalować.