Este é o método mais antigo, e ainda hoje um dos principais
métodos utilizados por todos os programas anti-vírus do mercado.
Envolve o escaneamento em busca de vírus já conhecidos, isto é aqueles vírus que
já são conhecidos das empresas de anti-vírus.
Uma vez que as empresas recebem uma amostra de um vírus eles o desassemblam para
que seja separada uma string (um grupo de caracteres seqüenciais) dentro do
código viral que só seja encontrada nesse vírus, e em nenhum programa normal à
venda no mundo. Essa string, uma espécie de impressão digital do vírus, passa a
ser distribuída semanalmente pelos fabricantes, dentro de suas vacinas.
O "engine" do anti-vírus usa esse verdadeiro banco-de-dados de strings para ler
cada arquivo do disco, um a um, do mesmo modo que o sistema operacional lê cada
arquivo para carregá-lo na memória e/ou executá-lo. Se ele encontrar alguma das
strings, identificadoras de vírus, o anti-vírus envia um alerta para o usuário,
informando da existência do vírus.
Esse método não pode, entretanto, ser o único que o anti-vírus
deva utilizar. Confiar apenas no conhecimento de vírus passados, pode ser
pouco, deixando o usuário totalmente à descoberto quanto a novos vírus. Assim
os fabricantes de anti-vírus passaram a utilizar de métodos adicionais, que
permitissem detectar vírus novos, onde o escaneamento citado neste tópico não
está ainda disponível.