Buster Sandbox Analyzer er et værktøj, der er designet til at analysere opførslen af ​​processer og ændringerne i systemet og derefter evaluere, om de er mistænkelige til malware.Ændringerne foretaget af systemet kan være af flere typer: filsystemændringer, ændringer i registreringsdatabasen og portændringer.En ændring af filsystem sker, når en fil oprettes, slettes eller ændres.Afhængig af hvilken filtype der er oprettet (eksekverbar, bibliotek, javascript, batch osv.), Og hvor blev oprettet (hvilken mappe), vil vi kunne få værdifuld information.Registreringsændringer er de ændringer, der er foretaget i Windows-registreringsdatabasen.I dette tilfælde vil vi kunne få værdifuld information fra de ændrede nøgler og de nye oprettede eller slettede registernøgler.Portændringer produceres, når der oprettes en forbindelse udenfor, til andre computere, eller en port åbnes lokalt, og denne port begynder at lytte efter indgående forbindelser.Fra alle disse ændringer får vi de nødvendige oplysninger til at evaluere "risikoen" for nogle af de handlinger, der er truffet af sandkasserede applikationer.