Sandbox
Ein großes Problem für Virenscanner ist es, die Zeit zwischen dem Ausbruch eines Viruses und der Ankunft der Virensignaturen dieses Viruses ohne Infektion zu überstehen. Hier kann man sich einerseits der Heuristik bedienen.
Ein weiterer Ansatz ist jedoch, ein fragliches Programm erst einmal in einer sicheren Umgebung "spielen" zu lassen (daher der Begriff engl. "Sandbox" oder dt. Sandkasten), in der es keinen Schaden anrichten kann. Es wird beobachtet, was das Programm dort tut und dann entschieden, ob das Programm Schadcode enthält oder nicht.
Eine Sandbox kann keine Ja/Nein-Aussage liefern, ob ein Programm schädlichist oder nicht. Sie kann immer nur eine Wahrscheinlichkeit dafür angeben. Meist kann der Benutzer in seinem Antivirenprogramm festlegen, ab welchem Wert ein Programm als gefährlich eingestuft wird. Oder das Antivirenprogramm fragt bei möglichem Schadcode beim Benutzer nach, ob das programm ausgeführt werden darf oder nicht.