Virusscanner (in generale) si agganciano al filesystem. Ciò significa che ogni volta che un file viene trasferito, passa il virusscanner, che tenta una tabella di modelli conosciuti comuni (alias definizioni) rispetto al file. Questo funziona bene per i file binari in quanto i pattern sono più facili da rilevare nel contenuto statico. I pattern non sono l'unica valutazione, ad esempio le routine delle tracce di Windows Defender per vedere dove portano. Una combinazione di chiamate di sistema può anche attivare un avviso. Gli script host di Windows (ad esempio js, vba, vs) sono noti per causare problemi e vengono scansionati in vari modi per assicurare che non possano causare danni (o azioni non intenzionali). Gli scanner di malware hanno vari modi di rilevare le minacce, queste solo due.
Se dovessi scaricare uno script Python casuale e malevolo che è stato leggermente modificato per coprire il suo scopo, le modifiche non passeranno inosservate.
Anche i file eseguibili vengono controllati prima di essere caricati nella memoria eseguibile. Naturalmente le opzioni e le tecniche variano a seconda del prodotto.