利用病毒的特有行为特性，监测病毒的方法，称为行为监测法。

    通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

    这些做为监测病毒的行为特征可列举如下：

    1.占用INT 13H

    所有的引导型病毒都攻击BOOT扇区或主引导扇区。系统启动时，当BOOT扇区或主引导扇区获得执行权时，系统就开始工作。一般引导型病毒都会占用INT 13H功能，因为其他系统功能还未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。

    2.修改DOS系统数据区的内存总量

    病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量。

    3.以COM和EXE文件做写入动作

    病毒要感染，必须写COM和EXE文件。

    4.病毒程序与宿主程序的切换

    染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。

    行为监测法的长处在于不仅可以发现已知病毒，而且可以相当准确地预报未知的多数病毒。但行为监测法也有其短处，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。

    摘自陈立新《计算机病毒防治百事通》 清华大学出版社