Bei nahezu jedem lagen sie schon im Ordner: die Mails mit den dubiosen Anhängen. Für solche möglichen Schadprogramme wurde die ‚Sandbox‘ geschaffen. Wie Generäle, die den vermuteten Ablauf einer Schlacht in einem Sandkasten zunächst durchspielen, so wird die Auswirkung des Codes in einem Quarantäne-Bereich analysiert. Einige Programme haben als Plug-In schon eine (schwache) Sandbox-Funktion, bspw. das ‚Java Runtime Environment‘ (JRE). Andere Methoden verfolgen einen sehr viel restriktiveren Ansatz: Der gesamte Browser wird in einem Isolationsbereich ausgeführt, abgeschottet von allen Schreibzugriffen auf die Festplatte. Jeder versuchte Zugriff wird auf ein separates Unterverzeichnis umgeleitet, das problemlos gelöscht werden kann. Mögliche ‚Malware‘ gelangt nicht ans Ziel. Andere bauen gleich eine ‚virtuelle Maschine‘ (VM). Der Rechner wird hierbei auf einer Software-Ebene nachgebildet, vom realen Rechner in jeder Hinsicht isoliert. ‚Infiziert‘ wird dann nur ein ‚virtuelles Gefängnis‘. Als verdächtig gelten immer Versuche von Systemänderungen, das Erstellen neuer Netzwerkverbindungen oder das unmotivierte Öffnen von Dateien.