Az nem működik, hogy az ember létrehoz egy honepot könyvtárat, benne egy figyelt fájllal, és ha meg kell tudni, mikor történt a kompromittálás, akkor megnézi, hogy mikor romlott el a fájl tartalma?* (Meg persze a fájl tartalmát figyelni is lehet, ha változik, akkor baj van, mindent lehet RO remountolni és tolni az alertet).
* Feltételezem, hogy egy zsarolóvírus gyorsan megpróbál mindél több fájlt tönkretenni, nem pedig lassan és óvatosan.