检查软件恶意代码的方法主要包括以下几种：

特征码扫描

通过对比已知恶意代码的特征码来检测。

广泛应用于各类恶意代码清除软件中。

存在局限性，如特征库规模扩充导致扫描效率降低，无法检测新型恶意代码，以及难以应对加密、混淆、多态变形等自我防护技术。

沙箱技术

将恶意代码放入虚拟机中执行，所有操作都被虚拟化重定向。

能够较好地解决变形恶意代码的检测问题。

行为检测技术

通过监控程序的行为特征（如频繁连接网络、修改注册表、内存消耗过大等）来判断其是否具有恶意行为。

适用于未知病毒的发现，能够检测到各种异常情况。

签名检测

基于已知恶意代码的特征码进行检测。

速度快，但难以检测未知的恶意代码。

网络流量分析

通过监视网络通信，检测出异常流量模式或恶意行为。

适用于检测通过互联网传播的恶意代码。

深度包检测

利用数据流技术对网络流量进行递归分析，检测被加壳或加密的恶意代码以及APT攻击。

需要较高的计算能力，对系统要求较高。

静态检测方法

在不运行恶意代码的情况下，利用分析工具对恶意代码的静态特征和功能模块进行分析。

包括基于代码特征和基于代码语义的分析方法。

基于机器学习的检测

通过训练机器学习模型来识别恶意代码。

能有效检测未知的恶意代码，但需要大量的样本数据进行训练。

启发式检测

通过比较系统上层信息和取自内核的系统状态来识别隐藏的文件、进程及注册表信息。

优势在于可检测新恶意代码样本，但易引发高误报及漏报率。

综合以上方法，可以根据具体需求和场景选择合适的检测手段。在实际应用中，通常会结合多种检测技术以提高检测的准确性和效率。例如，可以先通过特征码扫描进行快速筛查，然后利用沙箱技术对可疑文件进行进一步分析，最后通过行为检测确认其恶意性。