1.严密监控内存RAM区

　　对RAM的监控主要包括三个方面：

　　（1）跟踪内存容量的异常变化
　　 内存容量由内存0000:004BH处的一个字单元来表示。正常情况下，该处的一个字表示以K为单位的内存容量。例如，如果内存容量为512K，则该字的内存为0200H，如果内存容量为640K，则该字的内容为0280H。由于系统型病毒在侵入系统后，一般都要对内存容量进行修改，以便保护其放在内存高端的病毒程序不被其他程序或COMMAND.COM文件的暂驻部分所覆盖。

　　因此，如果软件检测到内存容量发生了某些异常变化，通常是容量被无端占用，大幅度缩容，则表明有病毒存在。

　　（2）对中断向量进行监控、检测
　　 此原理与病毒报警软件有关部分相同。

　　（3）对RAM区进行扫描
　　 利用检测软件中所储存的大量病毒特征值，对RAM区中的所有字符串进行扫描。如果发现RAM中的某些字符串与已知病毒的特征值字符串相同，则表明内存中已驻留了这种病毒，应立即采取措施。

　　2.监控磁盘引导扇区

　　系统型病毒主要维护引导扇区，对引导扇区的严格监控，可以有效检测出系统型病毒。

　　（1）代码和有变，则可能有病毒感染。
　　 由DOS的各种版本格式化后磁盘引导扇区的内容都是固定的，所以其代码和也是固定的。检测软件在求出代码和后，如果发现其结果与DOS版本的正常代码不一致，就可以初步确定被检测的磁盘引导扇区被病毒所感染。

　　此方法有其局限性，通常它需结合其他方法才能做出最终判断。

　　（2）扫描引导扇区的所有字符串
　　 若发现有病毒特征值字符串出现，则可以判定有病毒存在于引导扇区。

　　（3）全方位扫描磁盘文件
　　 检测软件对系统中的所有文件进行扫描，查找病毒特征值字符串，以确定是否有病毒被检测出。

　　显然，它是针对文件型病毒的一种作用方式。

　　 （摘自陈立新《计算机病毒防治百事通》 清华大学出版社）