启发式扫描技术病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个速应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕显示等，而病毒程序则从来有会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOVAH,5/INT,13h，即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。可疑的程序功能在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件要能够识别并探测许多可疑的程序代码指令序列，如格式化磁盘类操作，搜索和定位各种可执行程序的操作，实现驻留内存的操作，发现非常的或未公开的系统功能调用的操作，等等，所有上述功能操作将被按照安全和可疑的等级可以排序，根据病毒可能使用和具备的特点而授以不同的加权值。随便举个例子，格式化磁盘的功能操作几乎从不出现在正常的应用程序中，而病毒程序中则出现的几率极高，于是这类操作指令序列可获得较高的加权值，而驻留内存的功能不仅病毒要使用，很多应用程序也要使用，于是应当给予较低的加权值。如果对于一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称“发现病毒！”仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置，如果不打算上演“狼来了”的谎报和虚报来故意吓人，最好把多种可疑功能操作同时并发的情况定为发现病毒的报警标准。启发式扫描通常应设立的标志为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在情况，病毒检测程序可以显示为不同的可疑功能调用设置标志。例如，TbScan这一病毒检测软件就为每一项它定义的可疑病毒功能调用赋予一个旗标，如F,R,A……，这样以来可以直观地帮助我们对被检测程序进行是否染毒的主观判断。各标志的含义F＝具有可疑的文件操作或能。有可疑进行感染的操作。R＝重定项功能。程序将以可疑的方式进行重定向操作。A＝可疑的内存分配操作。程序使用可疑的方式进行内存申请和分配操作。N＝错误的文件扩展名。扩展名预期程序结构与当前程序相矛盾。S＝包含搜索定位可执行程序（如EXE或COM）的例程。#＝发现解码指令例程。这在病毒和加密程序中都是经常会出现的。E＝灵活无常的程序入口。程序被蓄意设计成可编入宿主程序的任何部分，病毒极频繁使用的技术。L＝程序截获其它软件的加载和装入。有可能是病毒为了感染被加载程序。D＝直接写盘动作。程序不通过常规的DOS功能调用而进行直接写盘动作。M＝内存驻留程序。该程序被设计成具有驻留内存的能力。I＝无效操作指令。非8088指令等。T＝不合逻辑的错误的时间标贴。有的病毒借此进行感染标记。J＝可疑的跳转结构。使用了连续的或间接跳转指令。这种情况在正常程序中少见但在病毒中却很平常。?＝不相配的EXE文件。可能是病毒，也可能是程序设计失误导致。G＝废操作指令。包含无实际用处，仅仅用来实现加密变换或逃避扫描检查的代码序列。U＝未公开的中断/DOS功能调用。也许是程序被故意设计成具有某种隐蔽性，也有可能是病毒使用一种非常规手法检测自身存在性。O＝发现用于在内存在搬移或改写程序的代码序列。Z＝EXE/COM辨认程序。病毒为了实现感染过程通常需要进行此项操作。B＝这回程序入口。包括可疑的代码序列，在完成对原程序入口处开始的代码修改之后重新指向修改前的程序入口病毒极常见。K＝非正常堆栈。程序含有可疑的或名其妙的堆栈。例如对于以下病毒，TbScan将点亮以下不同标志。Jerusalum/PLO(耶路撒冷病毒)FRLMUZBackfont/后体病毒FRALDMUZKmINSK-gHOSTFELDTGUZBMurphyFSLDMTUZONinjaFEDMTUZOBKTolbuhinASEDMUOBYankee-DoodleFN#ELMUZB对于某个文件来说，被点亮的标志愈多，染毒的可能性就愈大。常规干净程序甚至很少会点亮一个标志旗，但如果要作为可疑病毒报警的话，则至少要点亮两个以上标志旗。如果再给不同的标志旗赋以不同的加权值，情况还要复杂得多。关于虚警（谎报）─正如任何其他的通用检测技术一样，启发式扫描技