Virenschutzlösungen arbeiten auf der Basis von Virensignaturen, den spezifischen Mustern und Regelmäßigkeiten im Code eines Malware-Typs. Die Muster werden durch Codeanalysen von den Herstellern der Schutzlösungen identifiziert und in der Signaturdatenbank der Lösung hinterlegt. Fortlaufend werden neue Viren in Umlauf gebracht, zurzeit werden im Schnitt täglich mehr als 120 neue Viren identifiziert. Die neuen Signaturen werden im Rahmen von Updates zur Verfügung gestellt. Die Signaturdatenbanken werden also immer umfangreicher und behäbiger und die Scan-Engine belegt immer mehr Arbeitsspeicher bei der Ausführung.
Scan-Funktionen mit Ressourcen-Sharing
Virenschutzlösungen bieten in der Regel mehrere Scan-Funktionen an, wie den automatischen Scan und den Scan "on Demand". Sobald die Funktion aktiviert wird, muss sie ihr eigenes Arbeitsexemplar der Scan-Engine in den Arbeitsspeicher laden. Dabei macht die Scan-Engine anderen Anwendungen den Speicherplatz streitig; ihr Ressourcenbedarf verlangsamt die laufende Arbeit. Die Entfernung alter Virensignaturen aus der Datenbank kommt als Entlastungsmaßnahme nicht in Frage, da dann die Gefahr eines erneuten Ausbruches besteht. Damit verhindert wird, dass die Anwender entnervt auf Virenschutz verzichten, muss die Entlastung an anderer Stelle ansetzen. Mit dem Ressourcen-Sharing erzielt Norman erhebliche Performancegewinne ohne Einbußen bei der Sicherheit.