Több vírusvédelmi rendszernek van olyan rezidens modulja, mely általános (tehát nem vírusspecifikus) elvekkel próbálja a betolakodót észrevenni. Olyan funkciókat kell figyelni, amelyek a vírusokra jellemzőek, tehát vagy a fertőzés, vagy a károkozás műveletét.
A fertőzés jele (bár nem egyértelműen) az lehet, ha egy futtatható program elejét valami felülírja, és a végét megtoldja. Ha egy futtatható programot átneveznek más kiterjesztésűre, az is gyanús, mert lehet, hogy éppen az előbbi ellenőrzést akarják megkerülni. A károkozási műveletek közül vizsgálandó például a formázás.
Néhány korai védelem leállította a gépet, amikor vírustevékenységet észlelt. Ez sokszor nagyobb kárt okozott, mint a vírus. Az elvárt működés az, hogy a program egy ablakban kiírja, hogy mi történt, és megkérdi, hogy mi történjen.
A MS-DOS 6-os változatában volt egy VSAFE nevű rezidens védelem. Egész jól működött, de volt egy hibája. Még a most készült vírusokban is gyakran fellelhető a következő kódrészlet (esetleg módosított formában, hogy a heurisztikus keresők ne jelezzenek olyan könnyen), mely a VSAFE védelmet egyszerűen kikapcsolja:
MOV DX,5945
INT 16