Windowsの脆弱性をエミュレートし、ボットが脆弱性を悪用しようとアクセスしてきた動きをキャッチし、送り込まれるプログラムを収集する。現在、20種類ほどの脆弱性のエミュレートに対応しており、さらに開発を進めているという。

ボットネットの指令サーバーから送られてくるコマンドと、それに対する返答をエミュレートし、ボットのふりをしてボットネットに潜入する手法が用いられている。この作業については、「botsnoopd」と呼ばれる専用のボットエミュレータを開発しており、ボットの活動を日々監視することで新たな攻撃の予兆をつかむことができるとした。