L'antivirus analizza il file (programma o documento) cercando porzioni di codice in grado di svolgere azioni insolite. Funzione tipica delle applicazioni più costose, destinate in particolare a sistemi di protezione aziendale e per grandi banche dati, è una tecnica molto complessa perché implica, da parte di chi la sviluppa, la conoscenza perfetta dei programmi e dei sistemi operativi.In pratica, si tratta di capire come può essere infettato un sistema e di conoscere i punti deboli dei programmi che possono esservi installati.

A questo punto il programmatore dovrà sviluppare un software in grado di anticipare l'attività sospetta diretta ai punti deboli identificati. Il grande pregio di questa tecnica consiste nel fatto che l'antivirus è un passo in avanti rispetto ai possibili virus, è già pronto cioè prima che questi vengano creati. Il suo difetto nel numero di falsi allarmi, anche molto elevato in funzione della sensibilità e della completezza del prodotto.

La maggior parte degli antivirus in commercio include anche un motore di ricerca euristica, la cui efficacia è tuttavia strettamente correlata al prezzo del prodotto: un antivirus per uso personale non offre, in genere, un sistema di rilevazione euristica particolarmente efficace.