Normalt beskytter antivirus-programmer mod eksisterende vira. Og når der dukker en ny op, kaster sikkerhedsfirmaerne sig ud i hurtigt at lave en opdatering af deres software, så det kan klare den nyopdagede virus. Med Normans SandBox-teknologi er det muligt at isolere og overvåge mistænkelige filers adfærd og opdage, om de opfører sig som virus og kopierer sig selv.
"Sandboxing" er i IT-sammenhæng et udtryk for at potentielt skadelige programmer isoleres og afvikles i en "sandkasse", hvor deres adfærd kan overvåges, uden at de har mulighed for at gøre virkelig skade.
Det sker ved, at Norman med den ny metode indkapsler en potentiel virus i et emuleret computer-miljø, der i mindste detalje efterligner en rigtig computer. På den måde narres en given virus til at opfatte karantæne-zonen som et rigtigt system, hvorefter den forsøger at sprede sig.
Det er altså virussens adfærd, der får Normans SandBox-teknologi til både at udløse alarm, destruktion og generering af en vaccine med det samme. SandBox-teknologien bør ikke forveksles med en beslægtet metode, hvor en virus afprøves i en "Virtual Machine". For i modsætning til SandBox, har en Virtual Machine direkte adgang til computerens hardware. Normans SandBox udfører en emulering af alle nødvendige hardware-ressourcer. Det giver høj sikkerhed for, at en virus ikke undslipper karantæne-zonen. Fuld emuleringen gør det også betydeligt lettere at implementere SandBox på forskellige styresystemer.
SandBox-metoden vil inden for 3-6 måneder være tilgængelig for slutbrugere. Metoden bygges i øjeblikket ind i produktet Norman Virus Control.
