ハニーポットには、さまざまな種類、コンセプトのものが存在するが、大きく分けて以下の2種類が存在する。
1. ロー・インタラクション（低対話型）ハニーポット
2. ハイ・インタラクション（高対話型）ハニーポット

1．は、脆弱（ぜいじゃく）性が存在する本物のOSやアプリケーションを使用するのではなく、本物の「ような」環境や、その反応をエミュレートすることで侵入、攻撃を行う者（または、プログラム）を観察し、情報を得るものである。それに対して、2．は、脆弱性が存在する本物のOSやアプリケーションを用いて構築されるものである。

ウイルスを捕獲できる条件が整ったら、nepenthesの起動後の画面に変化が表れるまで眺めていればいいだろう。ISPなどによる通信のフィルタリングがされてさえいなければ、数分から数十分で何らかの外部からのアクセスが確認できるだろう。さらに、運が良ければ（？）ウイルスが感染を試みる攻撃が確認されるだろう。
その攻撃が、nepenthesが対応している攻撃パターンだった場合、nepenthesは、あたかも攻撃が成立し、感染することに成功したようにウイルスを欺き、ウイルスの感染、つまり、システムへのコピーのタイミングで捕獲を行う。つまり、ウイルスの検体を手に入れることができるのである。

上図の結果の中に「OK」となっているファイルが1つあるが、このファイルはClamAVのスキャン結果としてはウイルスであると認められなかったファイルである。ただし、あくまで「OK」というのは、ClamAVの結果であるため、完全に無害なファイルであるということが確認されたという意味ではない。
この「OK」と検出されたファイルをインターネット上に公開されているウイルススキャンサービス「VirusTotal」でスキャンを行ってみよう。