在分析防火墙和路由器192.168.0.1日志时，集中完成F列任务：
　　．识别潭和目的接门；
　　·找到源主机和口的主机；
　　·跟踪使用迹象：在to个接口上观察能够显示从外部进行过扫描的迹象，这种遴象表明有人在试图查探网络的拓扑结构；
　　·协议的使用：搜寻与Internet直接相关的应用，包括HTTP流量，RcalPlayer，M！'3流里。ICQ，InstantMe。senge：和IRC流峨，此外。还要搜寻ICMP。TCP和UUP连接；
　　·搜索可疑端1］的连接：例如12345（NetBus缺省端口）和31337端口（BackOrifice2000的缺省端口）。
　　一旦能够确定系统的正常活动，那么异常活动的识别也就容易了。高明的黑客会试图把他的活动伪装成合法的活动。如果没有建立基线，检测危险的活动是很困堆的。
　　“可疑的活动“有很多种形式。例如：
　　·某用户两周以来每天半夜二点尝试登录系统，并且没有登录成功；
　　·主服务器4天早晨白动地更新启动；
　　·在一天中的特定时间段内系统的性能突然下降。
　　第一种悄况延黑客尝试用某一账户登录系统失败的典型示例。在攻击的初始阶段。黑客出于谨慎的原因不想引起账号锁定。由于是发生在异常的时段。且其有重复的特性，应该对内部进行认真的核查。第二种情形可以由许多种旅因造成。轻度的系统性能下降通常不会引起报奢。但是。在第二种悄形中。服务器在异常时段内的重新启动应引起重视。许多黑客工具在安装后需要操作系统（如Windows2000）重新启动才能使用。通常。高明的黑客会等待操作系统合法的重启，但有时他们会因为缺乏耐心，而直接使用操作系统命令。或拒绝服务攻击使目这也可能是由于黑客在大规模攻击的的准备工作所引起的，或是拒绝眼务攻击的曲期花时间为系统建立基线非常必要。因为131以对照基线的情况来决定是否采取调查行动：可疑活动的例子丰富多样。在调查取证时。应特别核在下列迹象：
　　·异常时段内的合法活动。或任何不在基线范田内的用户举动；
　　·任何失败。尤其是登录失败、文件访问失败和用户权限使用失败；
　　·任何主要的系统活动。如关机和市启，这种悄形包括物理系统和软件系统《如服务和进程>>·磁盘空间的快速丢失和塞满。最后强洲。任何在从线之外的话动都是可疑的。hi然这此T。作初始看来令人生畏，但久一。1久之会变得简单。标皿务器重新启动。从而开始使用黑客工具。