In der Regel sollte an dieser Stelle eigentlich mit eigenen "Signaturen" gearbeitet und keine Fremdprozesse angesteuert werden. Es gibt auch einige heuristische Analysemöglichkeiten - allerdings kenne ich diese Technologien eher aus der dem "Web Application Scanning", z.B. über "Cross-Site-Scripting (XSS)" und/oder SQL-Injektion.
Die Schwierigkeiten mit den signaturbasierten Verfahren liegen klar auf der Hand. Sie sind eben nur so aktuell, wie die Datenbasis selbst. Mit ESET habe ich diesbezüglich jedoch immer sehr gute Erfahrungen gemacht. Zu Bullguard selbst kann ich leider nichts beisteuern, da mir jegliche Erfahrungen mit dem Programm fehlen.