После взлома системы могут предоставить огромное количество информации. Для этого, как правило, требуется перевести системы в автономный режим или сделать их зарисовки. Системы могут располагать обширными данными, в том числе об использованных взломщиком инструментах, исходном коде, словаре паролей, файлах конфигурации и системных файлах, таких как .history, или учета работы процесса. Перед созданием системы и ее запуском необходимо выполнить некоторые действия. Например, воспользоваться утилитой Tripwire. Мы рекомендуем сделать снимок вашей системы honeypot с помощью Tripwire перед тем, как размещать ее в сети Honeynet.
Когда через какое-то время система будет взломана, можно будет воспользоваться базой данных Tripwire, чтобы определить измененные бинарные файлы или файлы конфигурации системы.
Создавая снимки взломанной системы, можно проводить ее автономный анализ, чтобы определить, что именно сделал взломщик. Можно восстановить действия взломщика, даже не зная комбинаций клавиш. Также можно восстановить инструментарий и код, использованный взломщиком, даже если они были удалены. Эти и другие технические приемы глубокого анализа описываются в главе 8. При проведении анализа система может восстановить огромный объем информации.
