Le attività di rilevamento effettuate dagli antivirus hanno lo scopo di verificare se il computer è o no affetto da un virus e, se sì, da quale.
L'antivirus cerca il virus, verificando la presenza sulla macchina dell' impronta virale , che identifica il virus univocamente e che consente dunque di decidere quali politiche di rimozione applicare. L'antivirus deve essere aggiornato continuamente in modo da avere un insieme di impronte da ricercare il più completo possibile.
L'attività di rilevamento viene fatta con diverse tecniche:
I meccanismi euristici inseriti nelle versioni più efficaci degli antivirus possono scambiare per impronte virali sequenze di byte del tutto innocue, evidenziando dunque un falso positivo ovvero un caso in cui una porzione di codice o di dati qualunque viene scambiata per virus. Tutte le rilevazioni di potenziali nuovi virus vengono solitamente comunicate dal software antivirus al suo produttore che risponde entro breve all'utente, sia in caso di falso positivo che in caso di nuovo virus appena identificato.