マルウェアがサンドボックス上でどのように動作するかという話題です。まずマルウェアは 侵入に成功するとスクリーンショットを撮り、アイコンの数や壁紙やウィジェットといった 部分を判別し、そのマシンが本当に日常的に利用されているものかどうかを判断します。 他にも色々な機能(下記リスト参照。本文より引用)があり、実マシンかサンドボックスかを判断しています。

・スナップショットの取得
・システム情報(Systeminfoコマンド)
・実行中のタスク一覧(tasklistコマンド)
・ローカルユーザー一覧(net userコマンド)
・ARPテーブル(arpコマンド)