Če želimo preprečiti, da bi protivirusni program zaznal naš program (recimo, da smo pisci virusa ali trojanca), moramo najprej razumeti njihov način delovanja. Protivirusni programi škodljivo kodo (malware) večinoma odkrivajo po načelu preverjanja podpisov kode. Povprečen protivirusni program mora med delom preveriti silno veliko datotek, zato bi preprosto vzelo preveč časa, če bi odkrival škodljivo kodo na podlagi specifičnih podrobnosti, opazovanja delovanja in »obnašanja« oziroma s kombinacijo omenjenih prijemov.