Los hashes de archivos no son, con mucho, el método más útil para detectar malware (a diferencia de hace un par de décadas). En la actualidad, el reconocimiento de malware (y, a veces, la clasificación) se basa en gran medida en el análisis heurístico en tiempo real de sus operaciones. Este análisis trata con una gran cantidad de datos, que en su mayoría consisten en las llamadas al sistema realizadas por la aplicación y su orden. Las llamadas al sistema se rastrean a través de una técnica llamada enganchando .
Por supuesto, otras cosas se tienen en cuenta. Por ejemplo, la mayoría de los autores de malware por ahí fallan dramáticamente con sus empaquetadores y criptógrafos, lo que hace obvio que un archivo estaba, bueno, empaquetado / encriptado. Y algunos simplemente usan packers / cryptors conocidos que generan archivos que son fácilmente reconocibles por los antivirus.