计算机病毒在硬盘中是静态存储的，当它被激活时就驻留在内存中。因此，计算机病毒的检测可分为硬盘检测和内存检测。
一般来说，当病毒在硬盘检测，在内存中没有病毒，因为有些计算机病毒会给检查员报告虚假信息。例如，4096病毒在内存中，它已被感染的文件检查，没有发现该文件的长度发生了变化，当有没有病毒在内存中，会发现该文件的长度增加了，路4096字节；例如，dir2病毒在内存中，使用调试程序查看被感染的文件，不看dir2病毒检测程序代码，很多感染文件和引导型泄漏；巴基斯坦脑病毒在内存中时，它是主动的，检查开机就看不到病毒，只看到正常的引导扇区。因此再次，只有在研究病毒并要求确认分析类型时，才能掌握病毒检测的记忆。
从原始的、未被感染的DOS系统软盘，可以确保在内存中没有病毒。电开始不按键盘Alt + Ctrl + del三，热启动，因为某些病毒可以突破键盘拦截，将驻留在内存中的硬盘。检测到病毒。该系统启动软盘的DOS版本号应该等于或高于硬盘的DOS系统的版本号。如果硬盘上使用的硬盘管理软件DM、ADM、硬盘压缩存储管理软件堆、DoubleSpace引导软盘系统应该给司机软件包括在软盘上，并把它们写在CONFIG.SYS文件系统，或者软盘引导启动使用，将无法访问硬盘上的所有分区。隐藏病毒逃避检查。
在硬盘检测的病毒可以分为引导区病毒的检测和文件型病毒的检测。这两个测试的原理是相同的，但不同的检测方法仍然是由于病毒的不同存储方法。主要有以下四种方式：通过比较基于对象的检测方法与原始备份；使用病毒代码字符串搜索的方法找到的特征；词识别方法搜索病毒的具体位置；检测对象使用拆卸技术分析，无论是分析证实了该病毒。
比较法
这是一个与原始备份的比较法和检测的引导扇区或文件可用于打印的代码清单（如D命令输出格式的调试）的比较，也可以用来比较的程序（如DOS软盘比较，COMP PCTOOLS或其他软件），不需要在比较特殊的病毒检查程序，只要使用常规的DOS软件PCTOOLS工具。我们也可以发现计算机病毒，不被现有的杀毒软件发现的。因为病毒传播得很快，新病毒层出不穷，没有一般的程序，可以检测出所有的病毒，或通过代码分析，可以确定一个程序是否含有病毒的病毒程序，所以只有通过比较与分析，或两者结合的方法来发现新的病毒。
检查硬盘的主引导区或DOS的引导扇区，并使用比较方法找出程序源代码是否发生了变化。比较而言，保持原始备份非常重要。在备份时，必须在没有计算机病毒的环境中进行备份。一个好的备份必须妥善保管，标签上写的很好，和保护连接。比较的优点是简单、方便，并没有特殊的软件；缺点是这种病毒的名字不能确定。另外，对于检测到的程序和原始备份仍需要进一步验证发现无论是由计算机病毒引起差异的原因，或是DOS数据意外损坏的原因，如突然停电，从控制程序、恶意程序等。这些都是用在未来的分析来检查代码的变化部分的性质来确定病毒的存在。
搜索方法
此方法主要用于扫描每个病毒包含的特定字符串。如果一个特定的字节串是被测对象中找到，这表明由字节字符串所代表的病毒被发现。在国外，病毒扫描软件，用搜索的方法是scanner病毒扫描软件主要包括两个部分：第一部分是病毒代码库，通过各种含有特别选定的代码串的计算机病毒；另一部分是由扫描程序扫描，病毒扫描器可以识别计算机病毒的数量取决于病毒代码库包含病毒的类型。
病毒代码串的选择非常重要。短暂的病毒代码只有100多个字节，和长一只10kb字节。要选择程序的仔细分析后最具代表性的特征，能够区分病毒与其他病毒和其他的病毒变种。在一般情况下，代码串是由多个连续的字节。但有些扫描软件采用可变长度的字符串，也就是说，有一些模糊的字符串和字节。当扫描软件满足这个字符串，病毒可以通过例外标识；模糊；在字节的字符串匹配。此外，该特征字符串也必须能够使病毒与正常的非病毒程序区，否则会出现误报，虚假报告；
特征识别
这是一种基于特征串扫描的方法，它运行速度快，误报率低，特征词识别方法只需要从病毒中提取少数关键特征词，形成特征字库，由于需要处理的字节数少，不需要字符串匹配，加快了识别速度。这种方法更适合当加工程序大。特征字识别的方法更注重计算机病毒的程序；在活跃；因此，减少误报的可能性。该方法基于特征串扫描法对病毒检测是基于特征字的识别利用病毒软件方法相同。只要病毒检查程序运行，已知的病毒就可以检出，使用这两种方法需要不断扩充病毒库。一旦病毒被捕获，在提取特征并添加到病毒库之后，它将使病毒检测程序检测到不止一种新病毒。
分析方法
另一方面，这种方法可以确定所观察到的磁盘引导区和程序是否含有病毒的类型和种类，另一方面可以识别病毒，以确定是否一个新的病毒，也可以了解病毒的一般结构，提取特征标识字节字符串或字符，添加病毒代码库病毒扫描和识别程序。同时，该病毒代码的详细分析，有助于制定相应的反病毒解决方案。不同于前三种方法检测病毒，用解析法来检测病毒，除了具有相关的知识，他们还需要使用调试，唯冠和其他分析工具特殊的测试电脑。因为技术技术人员在病毒甚至很精通，性能完善的分析软件，不可能在短时间内完全保证将清除病毒代码分析；和病毒可能是在分析阶段感染甚至攻击软盘、硬盘数据完全破坏，使分析工作必须通过PC机在一个特殊的测试，不怕破坏数据。
没有必要的条件。不启动分析容易。很多计算机病毒利用自加密、反跟踪等技术，使得分析病毒的工作往往单调乏味。特别是，一些文件型病毒的源代码，可以达到超过10KB，这是深入参与系统的参与，并制定详细的工作分析很复杂。病毒检测分析是一个必不可少的杀毒技术和重要工作。任何优秀的反病毒系统的开发和开发离不开专业人员对各种病毒的详细、认真的分析。
分析方法分为两种：静态的和动态的。静态分析是指利用调试程序将打印清单的程序反病毒代码结合起来分析，将其分为病毒模块，它使用的系统调用，通过这些技巧，如何处理倒装病毒去除文件、修复文件，代码可以用来做签名和如何防御病毒等。人员素质分析是高，分析过程更快，更深入的了解；动态分析是指利用DEBUG调试工具与病毒在内存中，使病毒的动态跟踪的病毒观察具体的工作流程，工作进一步了解的原则病毒在静态分析的基础上，在简单的病毒编码的情况下，动态分析是不必要的，但是，当病毒使用较多的技术手段时，就需要采用动静态分析的方法来完成整个分析过程。
总之，利用原始备份和不适合特殊的软件程序进行检测可以发现异常情况的，是一种病毒检测方法简单，字符串的基本方法；扫描和文字识别的特点更适合PC用户使用居多，方便快捷；但对于新病毒的出现会出现漏检，需要结合使用比较分析法。