病毒檢測軟體的作用原理

電腦病毒檢測軟體，通常從兩個方面起作用，有效檢測帶毒檔案。

1.嚴密監控記憶體RAM區

對RAM的監控主要包括三個方面：

（1）跟蹤記憶體容量的異常變化

記憶體容量由記憶體0000:004BH處的一個字單元來表示。正常情況下，該處的一個字表示以K為單位的記憶體容量。例如，如果記憶體容量為512K，則該字的記憶體為0200H，如果記憶體容量為640K，則該字的內容為0280H。由於系統型病毒在侵入系統後，一般都要對記憶體容量進行修改，以便保護其放在記憶體高端的病毒程式不被其他程式或COMMAND.COM檔案的暫駐部分所覆蓋。

因此，如果軟體檢測到記憶體容量發生了某些異常變化，通常是容量被無端佔用，大幅度縮容，則表明有病毒存在。

（2）對中斷向量進行監控、檢測

此原理與病毒警示軟體有關部分相同。

（3）對RAM區進行掃描

利用檢測軟體中所儲存的大量病毒碼值，對RAM區中的所有字串進行掃描。如果發現RAM中的某些字串與已知病毒的特徵值字串相同，則表明記憶體中已駐留了這種病毒，應立即採取措施。

2.監控磁碟開機磁區

系統型病毒主要維護開機磁區，對開機磁區的嚴格監控，可以有效檢測出系統型病毒。

（1）代碼和有變，則可能有病毒感染。

由DOS的各種版本格式化後磁碟開機磁區的內容都是固定的，所以其代碼和也是固定的。檢測軟體在求出代碼和後，如果發現其結果與DOS版本的正常代碼不一致，就可以初步確定被檢測的磁碟開機磁區被病毒所感染。

此方法有其局限性，通常它需結合其他方法才能做出最終判斷。

（2）掃描開機磁區的所有字串

若發現有病毒碼值字串出現，則可以判定有病毒存在於開機磁區。

（3）全方位掃描磁碟檔案

檢測軟體對系統中的所有檔案進行掃描，尋找病毒碼值字串，以確定是否有病毒被檢測出。

顯然，它是針對檔案型病毒的一種作用方式。