В этой главе рассматриваются некоторые приемы продвинутого анализа данных. В главах 5 и 6 было рассказано о самых распространенных источниках данных и о том, как команда Honeynet Project их анализирует. Однако время от времени необходимо использовать более сложные способы, чтобы получить необходимую информацию. Здесь мы обсудим два передовых способа, которыми пользуются участники Honeynet Project, -пассивную дактилоскопию и системное вскрытие. Пассивная дактилоскопия - это процесс получения сведений об удаленной системе путем анализа сигнатур пакетов, которые она посылает и получает. Системное вскрытие представляет собой глубинный анализ образов системных дисков взломанных хостов. Оба метода позволяют получить информацию об инструментах, мотивах и тактике взломщиков.
