計算機病毒要進行傳染,必然會留下痕跡。檢測計算機病毒,就是要到病毒寄生場所去檢查,發(fā)現(xiàn)異常情況,并進而驗明“正身”,確證計算機病毒的存在。病毒靜態(tài)時存儲于磁盤中,激活時駐留在內(nèi)存中。因此對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。
    一般對磁盤進行病毒檢測時, 要求內(nèi)存中不帶病毒。因為某些計算機病毒會向檢測者報告假情況。例如4096病毒在內(nèi)存中時,查看被它感染的文件長度時,不會發(fā)現(xiàn)該文件的長度已發(fā)生變化,而當在內(nèi)存中沒有病毒時, 才會發(fā)現(xiàn)文件長度已經(jīng)增長了4096字節(jié)。DIR 2病毒在內(nèi)存中時,用DEBUG程序查看被感染文件時,根本看不到DIR 2病毒的代碼,很多檢測程序因此而漏過了被其感染的文件。又如引導區(qū)型的巴基斯坦智囊病毒,當它活躍在內(nèi)存中時,檢查引導區(qū)時看不到病毒程序而只看到正常的引導扇區(qū)。 因此,只有在要求確認某種病毒的類型和對其進行分析、研究時, 才在內(nèi)存中帶毒的情況下作檢測工作。
    從原始的、未受病毒感染的DOS系統(tǒng)軟盤啟動,可以保證內(nèi)存中不帶病毒。啟動必須是上電啟動而不能是按PC機鍵盤上的Alt+Ctrl+Del三個鍵的那種熱啟動,因為某些病毒通過截取鍵盤中斷,會將自己仍然駐留在內(nèi)存中。從這里可見保留好一份貼好寫保護簽的、未被病毒感染的DOS系統(tǒng)軟盤是多么重要！
    要注意的是, 若要檢測硬盤中的病毒,則啟動系統(tǒng)軟盤的DOS版本應該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號。 若硬盤上使用了磁盤管理軟件DM或ADM, 磁盤壓縮存儲管理軟件Stacker, Double space等,啟動系統(tǒng)軟盤上應把這些軟件的驅(qū)動程序包括在軟盤上, 并把它們列入CONFIG. SYS文件中。否則用系統(tǒng)軟盤引導啟動后,將不能訪問硬盤上的所有分區(qū),使躲藏在其中的病毒逃過檢查。
    說來說去，最主要的就是檢查病毒需要一個決定干凈系統(tǒng)，如果病毒已經(jīng)在殺毒軟件之前工作了，查殺的效果肯定就不好了。