Metodo delle firme: è il metodo più usato, consiste nel confrontare i codici dei malware con un database di firme che contiene codici utilizzati dai malware, ovviamente visto chevengono inventati circa 10.000 malware al giorno, la lista ha bisogno di continuo aggiornamento, e se non sono stati ancora scoperti certi malware, questi non verranno segnalati
Metodo euristico: si basa sul controllo delle azioni di un determinato programma, se per esempio elimina, sposta o modifica file, modifica impostazioni, spegne e/o riavvia il computer senza il consenso dell'utente l'antivirus lo etichetta come pericoloso, ciò permette di trovare anche i malware non ancora scoperti, ma delle impostazioni troppo restrittive, possono aumentare i falsi positivi, mentre delle impostazioni troppo accondiscendenti, rendono la protezione quasi nulla.
Metodo telemetrico: Consiste nel creare una rete di tipo client/server tra il mainframe centrale della ditta che mette a disposizione l'antivirus e tutti i computer che utilizzano tale antivirus, quando l'antivirus di un utente trova tramite analisi euristica o tramite confronto firme un file sospetto o un malware, lo invia al server che analizza il file, e se è veramente un file pericoloso, lo aggiunge alla lista delle minacce o a quella dei falsi positivi.