如今，用以對付高級惡意軟件的沙箱技術已被惡意軟件的作者利用。網絡罪犯越來越多地使用這種技術來創造新技術來逃避這種防御。

沙箱規避并不是一種新現象，其開始于惡意軟件開始認識到自己正在一個沙箱中，并且要“睡眠”到超時。但是安全分析工具在檢測“睡眠”時已經更為高效，所以惡意軟件的作者正在創造新策略，例如用來感染微軟辦公文檔中的惡意軟件變種。再如，有的惡意軟件可以向內存寫入近百億次一個字節的隨機數據。沙箱并不能夠判定應用程序正在有意地拖延，因為它并沒有真正地“睡眠”。此外，過多代碼或垃圾代碼迫使安全分析師花費更多的時間檢查和分析惡意軟件。

考慮到攻擊者不斷地更新其攻擊技術，企業的惡意軟件分析很有可能超越了傳統的沙箱技術。企業在購買和部署沙箱技術時通常有三種典型的方法：

1. 作為一種獨立的方案，對其它安全產品無依賴性。

2. 內建到基于網絡的安全設備(如防火墻、IPS、UTM)中。

3. 內建到安全內容網關中，如Web或電子郵件網關。

雖然每種部署選擇都有其自己的優點和缺點，但傳統的沙箱技術一般都以同樣的方式工作：析取惡意樣本;在本地虛擬機中分析樣本;生成報告。但其面臨著類似的局限性：能夠感知環境的高級惡意軟件可以逃避沙箱;并且對于用以確認已滲透到網絡的惡意軟件的數據，沙箱也不使用;沙箱提供有限的修復功能。

這正是傳統的沙箱技術需要改進的地方。為對付使用高級逃避策略的惡意軟件，企業需要一種更為強健的惡意軟件分析工具，該工具應是完整的威脅防御策略一部分的，并且在惡意軟件逃過了最初的幾道防線之后，能夠掃描和確認惡意軟件。這就要求惡意軟件的分析方法應是完整的能夠感知環境的，并能夠進行安全分析。

完整性：惡意軟件的分析必須是企業安全架構、防火墻、電子郵件和Web安全網關、網絡和端點安全方案的一個完整組件。靈活的部署選擇對于滿足多種需求和包容現有的基礎架構來說至關重要。

重視發生環境：發生環境對于理解真正的威脅在哪里并且加速響應極為重要。重視發生環境的惡意軟件分析可以提供基于區域的信息以及垂直或歷史分布的信息; 將全局的和本地的情報、損害行為指示、威脅情報提供和其它改進結合起來;交付情報;提供一個威脅分數，根據企業基礎架構的具體特征反映惡意程度。

回顧安全：該功能可以使安全團隊確認滲透到網絡的惡意軟件，看到文件在企業中的軌跡，隔離任何被感染的設備，并且在將設備連接到網絡之前執行自動或手動的修復?；仡櫚踩珜τ诩铀夙憫獣r間和實施檢測非常關鍵。

惡意軟件分析需要充分利用傳統方法提供的技術，在此基礎上進行革新和發展。