病毒检测软件的作用原理

计算机病毒检测软件，通常从两个方面起作用，有效检测带毒文件。

1.严密监控内存RAM区

对RAM的监控主要包括三个方面：

（1）跟踪内存容量的异常变化

内存容量由内存0000:004BH处的一个字单元来表示。正常情况下，该处的一个字表示以K为单位的内存容量。例如，如果内存容量为512K，则该字的内存为0200H，如果内存容量为640K，则该字的内容为0280H。由于系统型病毒在侵入系统后，一般都要对内存容量进行修改，以便保护其放在内存高端的病毒程序不被其他程序或COMMAND.COM文件的暂驻部分所覆盖。

因此，如果软件检测到内存容量发生了某些异常变化，通常是容量被无端占用，大幅度缩容，则表明有病毒存在。

（2）对中断向量进行监控、检测

此原理与病毒报警软件有关部分相同。

（3）对RAM区进行扫描

利用检测软件中所储存的大量病毒特征值，对RAM区中的所有字符串进行扫描。如果发现RAM中的某些字符串与已知病毒的特征值字符串相同，则表明内存中已驻留了这种病毒，应立即采取措施。

2.监控磁盘引导扇区

系统型病毒主要维护引导扇区，对引导扇区的严格监控，可以有效检测出系统型病毒。

（1）代码和有变，则可能有病毒感染。

由DOS的各种版本格式化后磁盘引导扇区的内容都是固定的，所以其代码和也是固定的。检测软件在求出代码和后，如果发现其结果与DOS版本的正常代码不一致，就可以初步确定被检测的磁盘引导扇区被病毒所感染。

此方法有其局限性，通常它需结合其他方法才能做出最终判断。

（2）扫描引导扇区的所有字符串

若发现有病毒特征值字符串出现，则可以判定有病毒存在于引导扇区。

（3）全方位扫描磁盘文件

检测软件对系统中的所有文件进行扫描，查找病毒特征值字符串，以确定是否有病毒被检测出。

显然，它是针对文件型病毒的一种作用方式。