Um exemplo simples de detecção de vírus de assinatura é apenas infectar o vírus com vários algoritmos diferentes. Se um arquivo com essas assinaturas é detectado, então é muito provável (embora não definitivamente, como as colisões são possíveis, mas altamente improváveis) um vírus. Enquanto na prática isso é difícil (vírus polimórficos tornam isso uma solução quase inviável em muitos casos), a teoria é simples.
Uma heurística em sua forma mais básica basicamente define "comportamento suspeito" ou "código suspeito" e age sobre isso. Assim, por exemplo (isso é muito simplificado novamente) se um programa está tentando se adicionar à lista de programas de inicialização, não está assinado por um editor confiável e está tentando acessar a Internet, pode ser um vírus. Pode ser apenas um instalador.
Este é um exemplo bastante simples de por que as heurísticas são mais probabilísticas do que determinísticas, enquanto as assinaturas são o contrário.
Apenas como uma breve comparação:
Heurística: Tem falsos positivos e negativos, mas geralmente baixa em ambos (idealmente).
Assinaturas: Tem falsos negativos, mas quase nunca falsos positivos. / p>