我们常会听到「某某防毒品牌比其它品牌优胜」、「某品牌屡获权威测试机构最高评价」之类的宣传句子，但说到防毒品牌之间有何差异，却未必人人说得出来。事实上，优胜的防毒品牌采用了怎样的压倒性技术，让它在测试中傲视同齐？这些技术又有何革命性的意义，更周全地保护我们的计算机安全呢？在本篇文章中，我们将会深入剖析 NOD32 专利的 ThreatSense Technology 与崭新的 ThreatSense.Net 系统。

    直至现时，几乎所有防毒软件还是主要透过病毒数据库里的病毒特征数据，以此与扫描中的档案们加以对照，从而把合乎条件的真正病毒区分出来。面对几乎每天都有新病毒或变种出现，各防毒软件也唯有不断进行特征更新 (Signature Update) 与壮大自己的病毒数据库，确保在最短时间内把最新的病毒特征数据收录其中。

    这种处理方法看似简单妥善，但网络世界里出现过的病毒种类高达 7 万多种，即使是仍活跃的品种数目也达到数千种以上；若病毒数据库要一口气全数收录，数据库体积必然非常庞大，就是在扫描系统时进行逐笔数据对照，过程也极为费时。因此，像 NOD32 等较先进的防毒程序，已逐渐改变这种特征检测 (Signature-based Detection) 的防毒方式，进化成采用较新型的普遍特征 (Generic Signature) 检测技术。

    所谓普遍特征，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征。不少病毒最初是以单一品种出现，及后经由其它病毒作者修改或自行演化，最后变化出数十种以上的病毒变种。若以传统特征检测方式处理，病毒数据库便要为每一种病毒变种也制作一笔独立的特征数据；而较新的普遍特征检测，则会从各变种中找出共同之处，包括一些非连续的程序代码，以此制作出通用的品种普遍特征。

    在进行系统扫描时，由于采用较少笔数的特征数据项已能检测同样庞大的病毒种类，因此进行对照工序时便能大大缩短时间。同时，对于由同一品种源头变化出来的新变种，只要吻合该族群的普遍特征条件，即使未更新病毒数据库亦很有可能成功进行拦截。因此，NOD32 更新数据库需时极短，每次更新不过下载 20KB 至 50KB 不等，绝不会加重网络与硬盘的负担。

    不少使用过 NOD32 的用户，都会惊讶它体积纤巧与速度惊人，其中一个成功之处在于 NOD32 采用综合性防护架构 (Integrated Protection)。NOD32 利用单一 ThreatSense 引擎处理病毒、蠕虫、广告软件、木马、间谍软件、网络钓鱼等各类恶意程序，大大简化工序与执行效能。

    某些防毒品牌利用多套独立软件处理不同的恶意程序，整套套件容量高达数百 MB 之巨，这样不单加重了系统负担，复杂的架构也造成管理困难，甚至在重迭的防护机制里造成保安漏洞。相比之下，根据 Virus Bulletin 的测试指出，NOD32 的综合性防护架构的扫毒速度往往比其它防毒品牌快 2 倍至 5 倍，表现非常出众。