Buster Sandbox Analyzer je nástroj, který byl navržen tak, aby analyzoval chování procesů a změny provedené v systému a poté vyhodnotil, zda jsou malware podezřelé.Změny provedené v systému mohou být několika typů: změny systému souborů, změny registru a změny portů.Ke změně systému souborů dojde, když je soubor vytvořen, odstraněn nebo změněn.V závislosti na tom, jaký typ souboru byl vytvořen (spustitelný soubor, knihovna, javascript, dávka atd.) A kde byl vytvořen (jaká složka), budeme moci získat cenné informace.Změny registru jsou ty změny provedené v registru Windows.V takovém případě budeme moci získat cenné informace z upravených hodnotových klíčů a nově vytvořených nebo odstraněných klíčů registru.Změny portů se vytvářejí, když je připojení provedeno venku, do jiných počítačů nebo je port otevřen lokálně a tento port začne poslouchat příchozí připojení.Ze všech těchto změn získáme potřebné informace pro vyhodnocení „rizika“ některých akcí provedených aplikacemi izolovanými v karanténě.