Suponiendo que tenemos un .EXE malicioso que elimina (usando el comando DEL con cmd) un archivo de sistema sensible.
Primero, un antivirus común analizará el archivo con la detección de firmas.
En segundo lugar, será en espacio aislado en tiempo de ejecución por el antivirus.
¿Cómo funciona el antivirus sandbox it? ¿Lo "rastrea" usando un "comando similar a ptrace" en Windows e impide que el .EXE malicioso use DEL? ¿O impide que el sistema operativo realice el proceso asociado y ejecute el .EXE malicioso en una pequeña máquina virtual con un pequeño sistema operativo específico?