Работает по принципу виртуальной машины + монитора, на уровне драйвера отслеживает все изменения в реестре, попытки работы с файлами с возможностью блокировки доступа к ним, попытки сетевой активности и т.п. При этом не создает вируальную машину целиком как делают аналогичные продукты, а работает параллельно системе, создавая виртуальный "буфер" в пределах которого запускается приложение.