DalÜφm krokem bylo vytvo°enφ scanneru û programu,
kter² se sna₧il v souboru najφt n∞jakΘ posloupnosti
instrukcφ, typickΘ pro jednotlivΘ viry. Pro ka₧d² virus se tedy vybere vhodnß sekvence znak∙ û nap°. B4 3D CD 21 B8 00 00. U testovan²ch objekt∙ se pak kontroluje, zda neobsahujφ tuto sekvenci. Pokud ano, je objekt oznaΦen jako napaden² virem.
Je samoz°ejmΘ, ₧e v²b∞r vhodnΘ sekvence znak∙, kterß bude pro detekci viru pou₧φvßna, nenφ jednoduch² û sekvence se nesmφ vyskytovat v ₧ßdnΘm korektnφm programu tak, aby nedochßzelo k myln²m hlßÜenφm.
Nejv∞tÜφ v²hoda scanneru, oproti vyhledßvacφmu programu, spoΦφvß v mo₧nosti snadnΘho a rychlΘho dopln∞nφ informacφ pro detekci nov²ch vir∙. V dob∞, kdy se roΦnφ nßr∙st poΦtu vir∙ pohybuje okolo 2000 kousk∙ je to v²hoda velmi podstatnß.
Auto°i vir∙ se samoz°ejm∞ sna₧φ vyhledßnφ svΘho dφtka co nejvφce znesnadnit. Objevuje se nov² termφn û polymorfnφ virus. Takov² virus se sna₧φ v∞tÜinu svΘho k≤du pravideln∞ m∞nit tak, aby urΦenφ vhodnΘ sekvence znak∙ ztφ₧il Φi znemo₧nil. ZpoΦßtku tuto ·lohu obstarßvala krßtkß funkce, kterß vlastnφ t∞lo viru zak≤dovala. V∞tÜinou vÜak tato k≤dovacφ funkce byla sama o sob∞ dostateΦn∞ dlouhß k tomu, aby poskytla vhodnou sekvenci znak∙.
Postupem Φasu se ale algoritmy, zajiÜ¥ujφcφ viru jeho prom∞nlivost, zdokonalily. Na tuto zm∞nu museli reagovat samoz°ejm∞ takΘ auto°i antivirov²ch program∙. N∞jak² Φas se sna₧ili pouze doplnit svΘ programy o rozpoznßvßnφ polymorfnφch vir∙ pomocφ jedno·Φelov²ch funkcφ, ale to byl vlastn∞ krok zp∞t k vyhledßvacφm program∙m se vÜemi jejich nev²hodami.
Modernφ scannery proto obsahujφ emulßtor strojovΘho k≤du, kter²m se pokouÜφ "napodobit" provedenφ dek≤dovacφ Φßsti. V praxi to znamenß, ₧e dokß₧φ "rozbalit" zakryptovan² virus do jeho nek≤dovanΘ podoby a sekvence pak hledajφ a₧ v dekryptovanΘm t∞le viru.
ProblΘmem se stßvß vytvo°enφ korektn∞ pracujφcφho emulßtoru strojovΘho k≤du mikroprocesor∙ Intel. Jeho vytvo°enφ skuteΦn∞ nenφ trivißlnφ problΘm. NicmΘn∞, jakmile je tento postup k dispozici, stßvß se detekce v∞tÜiny polymorfnφch vir∙ mo₧nou bez v∞tÜφch potφ₧φ.
Auto°i vir∙ se sice pokouÜejφ brßnit vytvß°enφm slo₧it∞jÜφch a v∞tÜφch dekyptor∙, ale zatφm to vypadß, ₧e bez v∞tÜφch nad∞jφ na ·sp∞ch.
Uv∞domte si ale, ₧e k detekci viru je stßle pot°eba vhodnß identifikaΦnφ sekvence. To p°edpoklßdß, ₧e virus, mßûli b²t scannerem urΦen, musφ jej autor tohoto scanneru znßt, musφ vybrat vhodnou sekvenci. U₧ivatel antivirovΘho programu û scanneru, musφ samoz°ejm∞ pou₧φvat takovou verzi, kterß tento virus ji₧ umφ nalΘzt.
Tato skuteΦnost je nejv∞tÜφ a podstatnou nev²hodou scanner∙ i vyhledßvacφch program∙. Jejich bezmocnost proti nov²m vir∙m. Dob°e udr₧ovan² scanner sice obvykle dokß₧e detekovat n∞kterΘ novΘ varianty starÜφch vir∙, ale jeho Üance nejsou p°φliÜ vysokΘ.