Мы рассмотрели две техники тщательного анализа данных. Техника пассивной дактилоскопии заключается в пассивном сборе информации из присылаемых удаленной системой пакетов. Это дает возможность узнать, например, о типе удаленной операционной системы или об используемом приложении. Хотя эта информация может показаться незначительной, в сочетании с другими сведениями она будет важной для получения общей картины. Системное вскрытие - это вторая, более активная техника анализа данных. Все системы в Honeynet разработаны с учетом будущего анализа. Поэтому размеры разделов не превышают 2 Гб, и исключается возможное загрязнение данных от предыдущих инсталляций. Наш любимый метод системного вскрытия заключается в том, чтобы копировать образы дисков системы и затем через сеть пересылать их в доверяемую систему для анализа. Для систем UNIX мы рекомендуем набор The Coroner's Toolkit.
