El Sandbox es una zona de memoria en un ambiente completamente aislado de los programas en ejecución, se utiliza para ejecutar programas o códigos no probados o que no son de confianza, posiblemente de terceros, proveedores, usuarios o sitios web no verificados, sin riesgo de dañar la máquina host o el sistema operativo.
Posee una base de datos con archivos o hash reconocidos, por lo que al ingresar un archivo, lo busca en sus registros y realiza la verificación en su memoria local antes de llegar al destinatario final.
Si el archivo entrante resulta ser malicioso, bloquea su ingreso alertando e ingresando a su base de datos como tal. Si se trata de un hash nuevo, que no está en memoria, lo ejecuta en este ambiente aislado para verificar su comportamiento y determinar si se trata de un software malicioso o no.