A legkomolyabb óvintézkedések mellett sem lehetünk biztosak abban, hogy nem lehet betörni szerverünkre. A behatoló viszont, - ha kellően ügyes és nem rombolni akar - nem hagy feltűnő nyomokat, viszont készít magának egy kiskaput, hogy később könnyedén hozzáférjen a gépünkhöz. Ez lehet egy megváltoztatott password file, esetleg egy átírt login, stb. Ezeket szűrhetjük ki, ha tripwire-t[40] használunk, amely a file-ok változásaira figyelmeztet. Ajánlott az általa generált file-t lemezre menteni és biztonságos helyen tárolni.
Ha bármi gyanús dolog történik, csak előveszünk egy boot lemezt egy ,,tiszta'' tripwire-rel (mivel a támadó a gépen lévőt akár le is cserélhette olyanra, amelyik nem mutatja bizonyos file-ok változásait - vagy még rosszabb, magát a programot cserélte le egy trójaira, ami elindítás után akár tönkre is teheti a rendszert, hogy a nyomokat eltüntesse) és a lemezen tárolt tripwire adatbázist összehasonlítjuk a gépen lévővel. Fontos, hogy a lemezen lévő tripwire statikusan linkelt legyen, mivel a gépen lévő lib-eket a támadó meg is változtathatja.