诸多的对于查杀病毒最好的软件，查杀这个问题都颇为感兴趣的，为大家梳理了下，一起往下看看吧。

1、一般在对硬盘进行病毒检测时，要求内存中没有病毒，因为有些电脑病毒会向检测器报假信息。比如“4096”病毒在内存的时候，如果你看被它感染的文件，你不会发现文件的长度发生了变化。

(资料图)

2、当内存中没有病毒时，会发现文件长度增加了4096字节；再比如，“DIR2”病毒在内存中，用调试程序查看感染文件时根本看不到“DIR2”病毒的代码。

3、因此，许多检测程序错过了受感染的文件；开机区还有“巴基斯坦智库”病毒。当它在内存中活动时，在引导区看不到病毒程序，只能看到正常的引导扇区。因此，

4、只有当需要确认病毒的类型，并对其进行分析和研究时，才能在内存中有病毒的情况下进行检测工作。

5、从原装无病毒DOS系统软盘引导，可以保证内存中没有病毒。启动一定是加电启动而不是按键盘上的“Alt Ctrl Del”热启动，因为有些病毒可以通过拦截键盘来中断。

6、把自己留在记忆里。要检测硬盘中的病毒，启动系统软盘的DOS版本号应等于或高于硬盘中DOS系统的版本号。如果使用硬盘管理软件DM和ADM，

7、硬盘压缩存储管理软件Stacker，DoubleSpace等。在启动系统软盘时，应该将这些软件的驱动程序包含在软盘中，并写入config.sys文件中，否则用系统软盘启动后，

8、将无法访问硬盘上的所有分区，这样隐藏在其中的病毒就可以逃过检查。

9、检测硬盘中的病毒可以分为检测引导病毒和检测文件病毒。两种检测方法原理相同，但由于病毒的保存方式不同，检测方法也不同。

10、主要基于以下四种方法：将检测到的对象与原始备份进行比较的比较法；利用病毒特征码串进行搜索的搜索方法；用于搜索病毒中特定位置的特征词识别方法；利用反汇编技术对被检测对象进行分析，确认是否为病毒的分析方法。比较法

11、这是一种将原始备份与检测到的引导扇区或检测到的文件进行比较的方法，可以与打印的代码列表(如Debug的D命令输出格式)进行比较。

12、也可以通过程序(如DOS的DISKCOMP、COMP或PCTOOLS)进行比较。比较法不需要专门的病毒检测程序，只需使用常规的DOS软件和PCTOOLS等工具即可进行。

13、还能发现现有杀毒软件无法发现的计算机病毒。因为病毒传播速度快，新病毒层出不穷，所以没有一个通用的程序可以检测所有的病毒，也没有一个病毒检测程序可以通过代码分析来确定一个程序是否含有病毒。

14、所以只有通过对比分析，或者这两种方法的结合，才能发现新的病毒。

15、检查硬盘的主引导区或DOS的引导扇区，通过对比找出程序源代码是否有改动。因为比较，所以保留原始备份非常重要。备份时，必须在计算机无病毒的环境中进行。

16、所做的备份必须妥善保管、标记和写保护。比较法的优点是简单方便，不需要专门的软件；缺点是你无法确认病毒的名称。此外，检测到的程序与原始备份存在差异的原因需要进一步核实。

17、为了搞清楚是电脑病毒导致的还是DOS数据被意外原因破坏的，比如突然断电，程序失控，恶意程序。这些都需要用后面提到的分析方法来检查被改代码的性质，从而确认是否有病毒。搜索方法

18、这种方法主要扫描每个病毒中包含的特定字符串。如果在被检测对象中发现了特定的字符串，则表明发现了该字符串所代表的病毒。国外把这种按照搜索方式工作的病毒扫描软件称为“扫描器”。

19、这款病毒扫描软件由两部分组成：一部分是病毒代码库，包含专门挑选的各种计算机病毒的代码串；另一部分是使用代码库进行扫描的扫描程序。

20、病毒扫描程序可以识别的计算机病毒的数量完全取决于病毒代码库中包含的病毒类型的数量。病毒代码串的选择非常重要。短病毒代码只有100多字节，长病毒代码只有10千字节。

21、一定要在仔细分析程序后选择最有代表性的代码串，这足以将该病毒与其他病毒和该病毒的其他变种区分开来。一般来说，代码串由几个连续的字节组成，但一些扫描软件使用可变长度的字符串。

22、即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时，只要除“模糊”字节之外的字串都能完好匹配，就也能够判别出病毒。另外，特征串还必须能将病毒与正常的非病毒程序区，不然就会出现“假报、误报”。

23、 分析法

24、这种方法一方面可以确认被观察的磁盘引导区和程序中是否含有病毒，另一方面可以辨认病毒的类型和种类，判定是否为一种新病毒，另外还可以搞清楚病毒体的大致结构，提取用于特征识别的字节串或特征字，

25、增添到病毒代码库中供病毒扫描和识别程序使用。同时，详细地分析病毒代码，还有助于制定相应的反病毒方案。与前三种检测病毒的方法不同，使用分析法检测病毒，除了要具有相关的知识外，

26、还需要使用Debug、Proview等分析工具程序和专用的试验用计算机。因为即使是很精通病毒的技术人员，使用性能完善的分析软件，

27、也不能完全保证在短时间内将病毒代码分析清楚；而病毒则有可能在被分析阶段继续传染甚至发作，把软盘、硬盘内的数据完全毁坏掉，所以分析工作必须在专门的试验用PC机上进行，不怕其中的数据被破坏。

28、不具备必要的条件，不要轻易开始分析工作。很多电脑病毒采用了自加密、抗跟踪等技术，使得分析病毒的工作经常是冗长枯燥的。特别是某些文件型病毒的源代码可达10KB以上，与系统的牵扯层次很深，

29、使详细的剖析工作十分复杂。病毒检测的分析法是反病毒工作中不可或缺的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒详尽、认真的分析。

30、分析法分为静态和动态两种。静态分析是指利用Debug等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析，看病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，

31、如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程，哪些代码可被用做特征码以及如何防御这种病毒等等。分析人员的素质越高，分析过程就越快，

32、理解也就越深；动态分析则是指利用Debug等程序调试工具在内存带毒的情况下，对病毒作动态跟踪，观察病毒的具体工作过程，以进一步在静态分析的基础上理解病毒工作的原理。在病毒编码比较简单的情况下，

33、动态分析不是必须的。但是，当病毒采用了较多的技术手段时，就必须使用动、静相结合的分析方法才能完成整个分析过程。

34、综上所述，利用原始备份和被检测程序相比较的方法适合于不用专用软件，可以发现异常情况的场合，是一种简单、基本的病毒检测方法；扫描特征串和识别特性字的方法更适用于广大PC机用户使用，

35、方便而又迅速；但对新出现的病毒会出现漏检的情况，须要与分析和比较法结合使用。

以上就是查杀这篇文章的一些介绍，希望对大家有所帮助。