L'antivirus analyse la signature des fichiers ainsi que ses caractéristiques (extension, header...), et ce quel que soit le système d’exploitation (Windows, macOS, Linux), afin de déterminer s’il s’agit d’une menace ou d’un fichier légitime. Selon le type de fichier, il est analysé dès son dépôt sur le disque ou à l’exécution.
L’antivirus peut ensuite bloquer voire mettre en quarantaine ces fichiers si la signature correspond à une menace connue de sa base de données. Plus précisément, chaque fichier, peu importe son apparence (taille, extension...), est soumis à un processus en plusieurs étapes faisant appel à des heuristiques et à une analyse comportementale, en plus de l'analyse statique et de l'analyse traditionnelle basée sur les signatures.
L’analyse inclut les éléments de données suspects, ainsi que la détection des signatures et des exploits, en vue d’isoler et neutraliser immédiatement les virus. Les fichiers sont exécutés, et le cas échéant surveillés et analysés dans un environnement virtuel fermé.
Les périphériques externes ou clés USB peuvent aussi faire l’objet d’un scan.