Mit dieser Analyse wird entschieden, ob eine Anwendung schädlich ist oder nicht, je nachdem wie sie sich verhält. Macht eine Anwendung etwas, das außerhalb des „Akzeptablen“ liegt, so wird ihr Betrieb eingeschränkt. So kann z.B. der Versuch, bestimmte Teile des Systemregisters zu beschreiben als Bedrohung gelten, ebenso wie das Beschreiben von vordefinierten Ordnern. Diese Aktion kann geblockt werden, oder es wird eine entsprechende Nachricht an den Benutzer geschickt. Man kann diese recht einfache Methode noch verbessern. So ist es z.B. möglich, den Zugriff auf eine bestimmte Anwendung zu beschränken (indem z.B. bestimmte Teile des Systemregisters dem Web-Browser im Nur-Lese-Modus zur Verfügung stehen), während auf andere Programme, die das Internet nicht nutzen, unbeschränkt zugegriffen werden kann.

Alternativ kann die heruntergeladene Anwendung auf dem Computer in Quarantäne gelegt werden. Sie läuft dann in einer „Sandbox“ [oft auch „Spielplatz“ oder „Sicherheitscache“ genannt], um sie nach im voraus definierten Kriterien einzuschränken. Die Aktivität des Programms wird mit einer Reihe von Regeln verglichen. Werden die Aktionen des Programms dann als regelwidrig eingestuft, so werden sie blockiert.