本文所说的不是用杀毒软件检测病毒，而是用你的眼睛去发现、识别病毒、木马。最直接的是从windows自带的任务管理器的进程表中查找可疑进程。所谓可疑进程就是非系统的进程、也非你所安装的应用软件的进程，当然首先你要熟悉有什么正常进程，不熟悉也没事，反正看到不象好人的就去网上搜索，系统进程、正常就用软件进程一般在网上都很容易找到对它们的解释，找不到就有嫌疑了。此类病毒或木马的文件名大多是采用字母数字随机生成的名字，看过去名字比较奇怪，没有特定的含义，比较容易识别(也有例外的，比如一个modem的驱动、还有雅虎的某个工具的文件看上去也类似于随机组合似的)。有的则有固定的名字，这种识别可能会比较困难，但正因为是固定名字的，就是明显特征，在网上比较能查到它的家谱，甚至祖宗三代。

以上所说的是比较直接的，还有比较隐藏的。

有一种是用与正常进程相近的名字来欺骗我们的眼睛。如svch0st.exe(中间是数字0，不是字母o)，就是想伪装成svchost.exe，而且在大写状态下肉眼基本分辨不了的。识别这种就得要细心了。最直接简单的方法是查看进程的路径，如果不是在正常文件应该在的地方的，绝对有问题，如果在同一个地方的，按名称排个序，两人站一起就认出来了。

第三种是直接顶替正常进程，名字一样的，但可能位置是在另一个文件夹中的，或正常文件被病毒替换的。前者一样是检查文件路径，后者有点麻烦，不过也是有迹可寻的，比如是否有安装过包括此进程的软件，如果你没装瑞星，进程中多出一个rav，当然可疑。最讨厌的是直接顶了系统文件的病毒文件，你很难一眼发现，不过用下面的方法还是可以解决的。

上面说的都是直接从任务管理器进程表中看到，至于那些插入的进程、子进程、隐藏进程是不会从里面看到的。所以光用windows自带的任务管理器是不够用的，可以借用第三方工具，只要能详细把所有进程的文件名、路径、甚至版本号、公司等信息都列出来的工具就是好工具(这样就可以发现被替换的文件)。

当然有比较狡猾的病毒会假冒公司名，经常假冒的就是微软(Microsoft)，这时就要检查文件创建的时间，比如微软的文件一般是系统文件，不大可能是近期创建的，如果发现创建时间是比较新的，就要有所怀疑。修改时间也是一样，没有特殊情况，例如可执行文件、动态链接库文件(dll)等是不大可能被修改的，文档或配置文件倒可能。

所以文件名、路径、创建时间、修改时间、公司、乃至版本号都是可以用来识别病毒的依据，但也不要一概而论，只能参考上面的方法，照搬后果自负。