传统的杀毒软件在面对这些经过改编的木马时，它们需要再次抓取这些样本，然后再提取特征码，加入到病毒库，用户在更新病毒库之后即可查杀了。目前的问题在于木马爆发的数量巨大，采用传统的这种方式一是没有能力一一进行分析，二是必须等到有用户感染了病毒，厂商获取了样本才可以查杀，周期比较长。三是软件的病毒库数量越来越庞大，对系统资源的占用也越来越大。那么有什么好的方法可以避免以上问题呢？

    答案就是启发式技术，它能够智能的根据程序的行为来判断是否是病毒，并进行查杀。目前业内启发式技术应用最成功的当属ESET NOD32，其启发式引擎融合了基因码技术、虚拟机技术、代码分析三大技术，构建起立体的防护架构。无论在扫描速度还是查杀能力上都独占鳌头。

    所谓基因码，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征。不少病毒最初是以单一品种出现，后经由其它病毒作者修改或自行演化，最后变成数十种以上的病毒变种。若以传统特征检测方式处理，病毒数据库便要为每一种病毒变种制作一份独立的特征数据；而较新的基因码检测技术，则会从各变种中找出共同之处，包括一些非连续的程序代码，以此找出同一类型病毒的普遍特征。

     针对变形病毒、未知病毒等复杂的病毒情况，极少数防病毒软件采用了虚拟机技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的，由软件模拟出来的程序虚拟运行环境。在这一环境中虚拟执行的程序。虽然病毒通过各种方式来躲避防病毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。

    代码分析扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如读写敏感文件，自我删除、自我复制，获取操作系统底层权限等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。

    在国际权威机构AV-Comparatives的主动式防护测试（最主要是针对未知病毒及防护能力的测试）中，ESET NOD32的ThreatSense.Net 杀毒引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus)，表现卓越。引用一位ESET NOD32粉丝的话：“做免杀难，做过ESET NOD32的免杀更难，做过ESET NOD32的免杀DLL文件是难上加难！”。可见不管是病毒、木马还是其它恶意变种，要想躲过ESET NOD32 防病毒引擎的三道关卡只能一个字形容——难！