الـ Sandboxing هو المختبر الجنائي للبروكسي. عندما يمر ملف غير معروف، لا يتم السماح به ولا حظره فوراً، بل يتم إرساله للتحليل العميق.
محاكاة كاملة للنظام
يتم تشغيل الملف في بيئة افتراضية تحاكي جهاز موظف حقيقي (Windows 10, Office, Adobe Reader). يتم تسريع الوقت داخل البيئة ومراقبة ما يفعله الملف: هل يحاول تعديل الريجستري؟ هل يحاول الاتصال بالإنترنت؟
التكامل مع تجربة المستخدم
التحليل قد يستغرق دقائق. لتجنب تعطيل الموظف، يمكن للبروكسي تسليم نسخة PDF آمنة من الملف فوراً، بينما يتم تحليل الملف الأصلي في الخلفية. إذا ثبتت سلامته، يتم إرسال رابط لتحميل النسخة الأصلية لاحقاً.
مكافحة تقنيات التهرب
البرمجيات الخبيثة المتطورة "تشعر" أنها في Sandbox وتتوقف عن العمل لخداع المحلل. الـ Sandboxes الحديثة تستخدم تقنيات Hypervisor متقدمة تجعل من المستحيل على الفيروس اكتشاف أنه مراقب.