杀毒软件识别软件（尤其是恶意软件）主要依赖以下技术：

一、核心识别方法

签名检测（Signature-based Detection）

通过将文件与已知恶意软件的签名（特征码）进行比对，若匹配则判定为恶意软件。这是目前最常用且对已知病毒检测效果最好的方法。

启发式检测（Heuristic-based Detection）

基于已知恶意代码特征分析文件行为和结构，判断是否具有恶意倾向。可检测未知病毒，但误报率较高，通常与行为监测结合使用。

行为监测（Behavioral-based Detection）

在虚拟环境中运行程序并记录操作日志，通过分析行为模式（如异常文件访问、注册表修改等）判断是否恶意。可检测未知病毒，但运行开销较大，常用于入侵检测系统。

沙箱检测（Sandbox detection）

将程序隔离在虚拟环境中执行，实时监控其行为。若行为异常则判定为恶意，但效率较低，通常作为补充手段。

二、其他辅助技术

数据挖掘与机器学习：

通过分析文件特征和行为模式，自动提取恶意软件分类特征，提升检测准确性。

内存查杀：检测运行中的程序特征码，可发现通过“加壳”“加花”等手段隐藏的病毒。

三、检测流程与局限性

特征码匹配

通过病毒库比对文件特征码，简单高效但无法识别未知病毒。

行为分析

观察程序运行行为，如异常网络通信、资源占用等，可发现新型病毒。

沙箱测试

在隔离环境执行程序，观察行为后再做决策，准确性高但速度慢。

四、总结

现代杀毒软件通常采用混合检测策略，结合签名检测、启发式分析和行为监测，以提高检测覆盖率。用户应保持病毒库更新，并配合系统安全防护以降低风险。