L'invention concerne un procédé, un système, et un produit de programme informatique permettant de détecter un programme malveillant depuis l'extérieur du système d'exploitation hôte en utilisant un disque, une machine virtuelle, ou une combinaison des deux. Le procédé, le système, et le produit de programme informatique détectent le programme malveillant au niveau du disque pendant que des fichiers informatiques dans le système d'exploitation hôte sont en cours d'exécution en identifiant les propriétés et les comportements de programme malveillant caractéristiques associés aux demandes de disque réalisées. Les propriétés et les comportements de programme malveillant sont identifiés en utilisant des règles qui peuvent détecter de manière fiable des virus infectant un fichier. Le procédé, le système, et le produit de programme informatique utilisent également le processeur de disque pour offrir un balayage accéléré des signatures de virus, ce qui diminue sensiblement la surcharge occasionnée sur le système d'exploitation hôte, par des techniques existantes de détection de programme malveillant. Au cas où un programme malveillant est détecté, le procédé, le système, et le produit de programme informatique peuvent répondre en limitant les effets négatifs provoqués par le programme malveillant, et peuvent aider le système à retrouver son état normal.