Чаще всего вирусы обнаруживают обычные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они, в большинстве случаев, не способны самостоятельно справиться с вирусом, необходимо чтобы как можно скорее вирус попал в руки специалистов. Профессионалы будут его изучать, выяснять, «что он делает», «как он делает», «когда он делает». В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса — последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового — способ заражения файла. Полученная информация позволяет выяснить:
· как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки — файлах и \ или загрузочных секторах
· как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов