هر فایل اجرایی هنگام ورود به سیستم توسط اینترنت سکوریتی اسکن میشود.
آنهایی که ویژگیهایشان با بانک اطلاعاتی برنامه نود32 همخوانی داشته باشد به عنوان خراب کننده طبقهبندیشده و مسدود میشوند. در مرحله بعد بقیه فایلهای اجرایی از سیستم دفاعی و «سیستم جلوگیری از حمله به میزبان»
اینترنت سکوریتی عبور داده میشوند. در اینجا فایلهای شناختهشده اجازه پیدا میکنند که در سیستم اجرا شوند، ولی فایلهای ناشناخته، فارغ از سالم بودن یا نبودن آنها، به سیستم دفاعی فرستاده شده و به محیط شبیهسازیشده
اینترنت سکوریتی (Sandbox که به «جعبه شنی» نیز معروف است) منتقل میشوند. فایلهایی که از طرف کاربر بیخطر اعلام میشوند به لیست سفید اینترنت سکوریتی اضافه خواهند شد، در حالی که بقیه به جعبه شنی منتقل شده و برای بررسی به سرورهای شرکت سازنده اینترنت سکوریتی منتقل خواهند شد.