Buster Sandbox Analyzer ابزاری است که برای تجزیه و تحلیل رفتار فرآیندها و تغییرات ایجاد شده در سیستم طراحی شده است و سپس ارزیابی می کند که آیا آنها مشکوک به بدافزار هستند.تغییرات ایجاد شده در سیستم می تواند انواع مختلفی داشته باشد: تغییرات در سیستم فایل ، تغییرات رجیستری و تغییرات درگاه.هنگام ایجاد یک فایل ، حذف یا تغییر ، تغییر سیستم فایل اتفاق می افتد.بسته به اینکه چه نوع پرونده ای ایجاد شده است (اجرایی ، کتابخانه ، جاوا اسکریپت ، دسته ای و غیره) و از کجا ایجاد شده است (چه پوشه ای) ما می توانیم اطلاعات ارزشمندی کسب کنیم.تغییرات رجیستری همان تغییراتی است که در رجیستری ویندوز ایجاد شده است.در این حالت ما می توانیم از کلیدهای ارزش تغییر یافته و کلیدهای جدید ایجاد شده یا حذف شده رجیستری اطلاعات ارزشمندی بدست آوریم.هنگامی که یک اتصال در خارج ، به سایر رایانه ها انجام می شود ، تغییر پورت ایجاد می شود یا یک درگاه به صورت محلی باز می شود و این پورت شروع به گوش دادن به اتصالات ورودی می کند.از همه این تغییرات ، اطلاعات لازم را برای ارزیابی "خطر" برخی از اقدامات انجام شده توسط برنامه های sandboxed به دست خواهیم آورد.