Metodo delle firme: è il metodo più usato, consiste nel
confrontare i codici dei malware con un database di firme che contiene codici
utilizzati dai malware, ovviamente visto chevengono inventati circa 10.000
malware al giorno, la lista ha bisogno di continuo aggiornamento, e se non sono
stati ancora scoperti certi malware, questi non verranno segnalati
Metodo euristico: si basa sul controllo delle azioni di un
determinato programma, se per esempio elimina, sposta o modifica file, modifica
impostazioni, spegne e/o riavvia il computer senza il consenso dell'utente
l'antivirus lo etichetta come pericoloso, ciò permette di trovare anche i
malware non ancora scoperti, ma delle impostazioni troppo restrittive, possono
aumentare i falsi positivi, mentre delle impostazioni troppo accondiscendenti,
rendono la protezione quasi nulla.
Metodo telemetrico: Consiste nel creare una rete di tipo
client/server tra il mainframe centrale della ditta che mette a disposizione
l'antivirus e tutti i computer che utilizzano tale antivirus, quando
l'antivirus di un utente trova tramite analisi euristica o tramite confronto
firme un file sospetto o un malware, lo invia al server che analizza il file, e
se è veramente un file pericoloso, lo aggiunge alla lista delle minacce o a
quella dei falsi positivi.