Les algorithmes de gestion de la mémoire virtuelle de Windows (le fichier pagefile.sys) optimisent l'occupation de ce fichier. Lorsqu'un programme en cours d'exécution doit être éjecté momentanément de la RAM pour laisser de la place à un autre, seules les données sur lesquelles vous travaillez, et les variables, sont envoyées dans la mémoire virtuelle (le fichier pagefile.sys). Le code en lui-même du programme, invariable, se trouve déjà sur disque, dans le fichier où le programme est installé. C'est de là qu'il sera recherché lorsque le programme remontera en mémoire pour reprendre son tour d'exécution. C'est la raison pour laquelle Windows empêchera toujours de toucher aux fichiers des programmes en cours d'exécution (accès exclusif).

Si le programme est un virus, il " bénéficiera " de la même " protection ". C'est pourquoi les antivirus vous annonceront parfois, pour parfaire une décontamination (selon les virus ou parasites trouvés), qu'ils ont besoin de redémarrer l'ordinateur. Là, dans la liste de redémarrage de Windows, l'antivirus va exécuter en premier les travaux de fin de décontamination avant de permettre le redémarrage de tout le reste.

Vous ne devez pas démarrer / redémarrer Windows en mode de diagnostique (dit mode " sans échec ") pour lancer un antivirus ou un anti-malwares, car cet outil cherche certains virus en mémoire, tandis qu'ils cherchent à s'exécuter (mode « on-execution ». Si l'ordinateur démarre en mode de diagnostique (dit mode " sans échec "), certains virus, qui se camouflent sur disque, ne seront pas détectés. Ils sont obligés de se dévoiler pour se lancer, en cherchant à s'activer en mémoire. Si un outil de sécurité est spécifiquement écrit pour être utilisé en mode de diagnostique (dit mode " sans échec "), nous vous le signalerons dans son mode d'emploi.

Le mode d'accès « on-execution » des outils de sécurité permet aussi :

• De gagner du temps en n'analysant que ce qui cherche à s'exécuter, donc uniquement du code exécutable, au lieu d'analyser tout et n'importe quoi.
• D'éviter le problème connu qui fait dire qu'il ne faut jamais avoir plus d'un antivirus ou anti-malwares simultanés. Cet ancien mode de fonctionnement des outils de sécurité, qui faisait intercepter, en mode exclusif, les fichiers tentant de s'ouvrir (« hook - hooker - hooking »), pour les analyser, pouvait provoquer des situations de blocages mutuels entre plusieurs outils de sécurité intervenant simultanément sur le même fichier.

Accessoirement, vous pouvez lancer une seconde fois un antivirus ou un antimalware en mode de diagnostique (dit mode " sans échec "), par acquis de conscience, mais certains antivirus le vérifient et refuseront de se lancer dans ce mode. Lorsque Windows est démarré en mode de diagnostique (dit mode " sans échec "), il est lancé dans une configuration minimum. Tout ce qui tente, habituellement, de s'activer et s'exécuter durant le démarrage de Windows, et qui ne fait pas partie du noyau minimum de Windows, est ignoré (n'est pas lancé).

Seuls les malwares de classe " Root " (" Rootkit "), qui ont réussi à s'incruster dans le noyau de Windows, ne peuvent être évités lors d'un démarrage en mode " Sans échec ". Ils font désormais partie du noyau de Windows et disposent des privilèges les plus élevés, ceux de Windows (" Ring 0 ").

Les niveaux de privilèges dans un système d'exploitation : ring0, ring1, ring2, ring3, ring 0, ring 1, ring 2, ring 3

Certains s'installent encore plus "haut" : dans le "bootstrap" du disque de démarrage (le "bootstrap" est exécuté avant le chargement de Windows), voire dans le BIOS qui est exécuté en tout premier, à la mise sous tension de l'ordinateur.