Technika ta, stosowana od wielu lat, polega na sprawdzaniu kodu w pliku (lub innym obiekcie), aby ustalić, czy zawiera on instrukcje typowe dla wirusów. Jeśli liczba takich instrukcji przekroczy predefiniowany próg, plik zostanie oflagowany jako potencjalny wirus, a klient poproszony o przesłanie próbki do dalszej analizy. W ciągu ostatnich lat analiza heurystyczna została ulepszona i daje pozytywne rezultaty w wykrywaniu wielu nowych zagrożeń.
Naturalnie, jeśli heurystyka nie jest ostrożnie "ustawiona", istnieje ryzyko fałszywych trafień. Dlatego większość producentów oprogramowania antywirusowego wykorzystujących heurystykę zmniejsza jej czułość w celu zminimalizowania takiego ryzyka. Wielu producentów domyślnie ją wyłącza.
Inną wadą heurystyki jest to, że umożliwia ona tylko wyszukiwanie. Aby usunąć złośliwy program, trzeba wiedzieć, jakich zmian dokonał w zainfekowanym obiekcie.