如果只是防止寫入或感染
我只要在寫入之前複製就好了
不需要實作sandbox
不過這部分一般比較常叫做回滾(roll back)
但事實上這也是sandbox的應用之一

像sandbox之類的仿真器
在10年前就應用在防毒軟體上了
如果要判斷sandbox是否用在行為判斷
可以從執行前或執行後來看
一般來說仿真器或虛擬機都是用來作行為監測
執行前跟執行後，各有自己的策略

另一種是限制記憶體重新定向
像COMODO的自動sandbox也是這種
把一切機敏資源限制存取
讓你侷限在自己的記憶體邊界