Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски".
Маской вируса является постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы, например, алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик - вирусов.
Используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения ("возможно заражен" или "не заражен") для каждого проверяемого объекта.
Универсальные сканеры рассчитаны на все типы вирусов вне зависимости от операционной системы, специализированные предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например, для защиты MS Word и MS Excel.
Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "налету", и "нерезидентные", обеспечивающие проверку системы по запросу.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз и относительно небольшая скорость поиска.