我們常會聽到「某某防毒品牌比其它品牌優勝」、「某品牌屢獲權威測試機構最高評價」之類的宣傳句子，但說到防毒品牌之間有何差異，卻未必人人說得出來。事實上，優勝的防毒品牌採用了怎樣的壓倒性技術，讓它在測試中傲視同齊？這些技術又有何革命性的意義，更周全地保護我們的計算機安全呢？在本篇文章中，我們將會深入剖析 NOD32 專利的 ThreatSense Technology 與嶄新的 ThreatSense.Net 系統。
直至現時，幾乎所有防毒軟體還是主要透過病毒資料庫里的病毒特征數據，以此與掃描中的檔案們加以對照，從而把合乎條件的真正病毒區分出來。面對幾乎每天都有新病毒或變種出現，各防毒軟體也唯有不斷進行特徵更新 (Signature Update) 與壯大自己的病毒資料庫，確保在最短時間內把最新的病毒特徵數據收錄其中。
這種處理方法看似簡單妥善，但網路世界裡出現過的病毒種類高達 7 萬多種，即使是仍活躍的品種數目也達到數千種以上；若病毒資料庫要一口氣全數收錄，資料庫體積必然非常龐大，就是在掃描系統時進行逐筆數據對照，過程也極為費時。因此，像 NOD32 等較先進的防毒程式，已逐漸改變這種特徵檢測 (Signature-based Detection) 的防毒方式，進化成採用較新型的普遍特徵 (Generic Signature) 檢測技術。
所謂普遍特徵，就是指同一病毒族群中的不同變種，多半含有相同的病毒特徵。不少病毒最初是以單一品種出現，及後經由其它病毒作者修改或自行演化，最後變化出數十種以上的病毒變種。若以傳統特徵檢測方式處理，病毒資料庫便要為每一種病毒變種也製作一筆獨立的特徵數據；而較新的普遍特徵檢測，則會從各變種中找出共同之處，包括一些非連續的程式代碼，以此製作出通用的品種普遍特徵。
在進行系統掃描時，由於採用較少筆數的特徵數據項已能檢測同樣龐大的病毒種類，因此進行對照工序時便能大大縮短時間。同時，對於由同一品種源頭變化出來的新變種，只要吻合該族群的普遍特徵條件，即使未更新病毒資料庫亦很有可能成功進行攔截。因此，NOD32 更新資料庫需時極短，每次更新不過下載 20KB 至 50KB 不等，絕不會加重網路與硬碟的負擔。
不少使用過 NOD32 的用戶，都會驚訝它體積纖巧與速度驚人，其中一個成功之處在於 NOD32 採用綜合性防護架構 (Integrated Protection)。NOD32 利用單一 ThreatSense 引擎處理病毒、蠕蟲、廣告軟體、木馬、間諜軟體、網路釣魚等各類惡意程式，大大簡化工序與執行效能。
某些防毒品牌利用多套獨立軟體處理不同的惡意程式，整套套件容量高達數百 MB 之巨，這樣不單加重了系統負擔，複雜的架構也造成管理困難，甚至在重迭的防護機制里造成保全漏洞。相比之下，根據 Virus Bulletin 的測試指出，NOD32 的綜合性防護架構的掃毒速度往往比其它防毒品牌快 2 倍至 5 倍，表現非常出眾。
高級啟發式技術
網際網路的普及，讓新病毒能在極短時間內迅速散播至世界上的每一個角落；惡意程式的作者們在撰寫新的病毒、蠕蟲與間諜軟體時，也致力於如何繞過防毒軟體的法眼，包括利用各種組合與包裝技術來偽裝，好讓自己的「大作」可侵入系統大肆破壞。即使採用普遍特徵 (Generic Signature) 檢測技術，若遇上並非由已知病毒變種而來的新病毒品種，也就是說病毒庫內並無有關特徵數據，防毒軟體還是無法將新病毒辨認與進行攔截。為了更迅速應對危機，防毒品牌無不強調更新病毒資料庫之快；但即使行動有多迅速，在病毒首次現身與用戶成功更新資料庫之間，還是存在一段時間差，這段時間差可由數分鐘到長達數天不等，視乎防毒品牌的效率而定。
那么，計算機系統在這段時間裡不就宛如出現缺口，任由病毒肆虐？針對這種狀況，NOD32 的 ThreatSense 防毒引擎里除了具備普遍特徵檢測外，亦加入了更卓越的先進啟發式技術 (Advanced Heuristics Technology)，有效防止新變種的蠕蟲與病毒入侵。該技術是一種主動式防護(proactive Protection) 技術，它辨別病毒的方法並非依靠任何特徵資料庫，而是在檔案掃描時主動地拆解與分析檔案的執行碼，並在虛擬的仿真系統環境裡執行它，以觀察是否包含任何具危險性的惡意行為。
該技術可說與普遍特徵檢測技術互相補足，構成完美的保全防線。例如，在 2005 年 9 月出現的 Win32/Bagle.DC 與 Win32/Bagle.DD 蠕蟲病毒，特性是透過電子郵件方式感染，當時則以每小時 2000 封電郵的速度向外散播；它在設計上故意避開了依靠特徵檢測系統，使絕大部分依靠特徵更新的防毒軟體無法作出實時回響。而 NOD32 的 ThreatSense 引擎則迅速發現該入侵，顯示了主動式與實時防護的重要性。事實上，在國際權威的主動式防護測試里，ThreatSense 引擎均能成功攔截超過 9 成以上的零日攻擊蠕蟲與病毒 (Zero-day worms and virus)，表現超卓。
為了強化 ThreatSense 引擎的準確性與效率，NOD32 在最新版本里加入了嶄新的 ThreatSense.Net 預警系統。該系統可說是把 ThreatSense 的優秀病毒分析能力，由個人計算機範圍拓展至全球性規模處理；每當客戶端的 NOD32 遇到疑似病毒的檔案時，便可自動或手動地將該檔案壓縮加密，並經由電郵寄送到 [email protected]，快速地交由 ESET 原廠的相關人員進行分析研究；一旦發現確定為病毒，廠方便可儘快進行後續的處理動作。