روش ها و الگوریتم های متعددی برای شناسایی بدافزارها ارائه شده است که هر کدام مبنای خاص خود را دارد. این روش ها یا به دنبال ایجاد شناسه ای منحصر به فرد برای هر بدافزار هستند و یا برای هر دسته از بدافزارها نشانه ای را در نظر می گیرند. این روش ها بر مبنای عملکرد خود به دو دسته ایستا و پویا تقسیم می شوند.
۱- ایستا: روش های شناسایی ایستا مبتنی بر بررسی محتوی دودوئی بدافزار است. این روش ها که به شکل سنتی به نام روش مبتنی بر امضاء مشهور هستند و یکی از روش های اصلی شناسایی بدافزارها به شمار می آیند. در روش امضاء، معمولا ضدبدافزار دارای یک بانک اطلاعاتی از امضاء های تولید شده از بدافزارهای شناخته شده است. درصورتی که نرم افزار ضدویروس الگوی این امضاء را در فایلی ببیند آن فایل را به عنوان یک بدافزار شناسایی می کند. این روش با این که معمولاً درصد خطای پایینی دارد ولی با ظهور ویروس های چندریختی موفقیت زیادی در شناسایی ندارد. روش های بهینه تری مانند استفاده از محتوی فایل دودویی در مبنای شانزده به عنوان امضای بدافزار نیز با ترکیب روش های عبارات یا قاعده در برخی نرم افزارهای ضدویروس به کار برده می شود.
۲- پویا: روش های پویای شناسایی مبتنی بر عملکرد بدافزار می باشند. این روش ها مختص بدافزارهای شناخته شده نیستند. البته، با این که درصد خطای بالاتری نسبت به روش های ایستا دارند ولی قابلیت شناسایی بدافزارهای جدید و مواردی که ساختار آنها پیچیدگی زیادی برای اعمال روش های ایستا دارند از مزیت های این روش ها است. روش های پویای شناسایی به روش های اکتشافی نیز معروف هستند. معمولا، در این روش ها یک مدل از رفتار بدخواه تولید می شود و رفتارهایی که متقارن با آن مدل باشند، به عنوان رفتاری مشکوک شناسایی می شوند.