Die Antiviren-Engine analysiert Dateisignaturen und -merkmale (Erweiterungen, Header, usw.) unabhängig vom Betriebssystem (Windows, MacOS, Linux), um festzustellen, ob es sich bei der Datei um eine Bedrohung oder eine legitime Datei handelt.
Abhängig vom Dateityp wird die Datei entweder direkt beim Speichern oder während der Ausführung analysiert.
Entspricht die Signatur einer bekannten Bedrohung in der Datenbank der Antiviren-Engine, kann die Datei blockiert oder sogar in Quarantäne verschoben werden. Genauer gesagt durchläuft jede Datei, unabhängig von ihrem Erscheinungsbild (Größe, Erweiterung, usw.), einen mehrstufigen Prozess, der neben der statischen und herkömmlichen signaturbasierten auch eine heuristische und verhaltensbasierte Analyse umfasst.
Die Analyse umfasst verdächtige Datenelemente sowie die Erkennung von Signaturen und Exploits, um Viren sofort zu isolieren und zu neutralisieren. Dabei werden ausgeführte Dateien bei Bedarf in einer isolierten virtuellen Umgebung überwacht und analysiert.
Auch externe Geräte und USB-Sticks können gescannt werden.