O processo

1. O FBI tem uma suspeita justificável de que alguém esteja envolvido em atividades criminais e pede um mandado para ver as atividades online do suspeito.

2. A justiça autoriza um grampo de conteúdo somente do tráfego de e-mail e expede o mandado.

   Termo usado em vigilância telefônica, "grampo de conteúdo" significa que tudo que está dentro do pacote pode ser capturado e usado. O outro tipo de grampo é o "trap-and-trace", que significa que o FBI só pode capturar a informação de destino, como a conta de e-mail de uma mensagem enviada ou o endereço de Internet que o suspeito está visitando naquele momento. Um tipo inverso de "trap-and-trace", chamado de "pen-register", rastreia de onde vem um e-mail enviado para o suspeito ou a origem das visitas ao site do suspeito.

3. O FBI entra em contato com o provedor do suspeito e pede uma cópia dos arquivos de backup da atividade dele.

4. O provedor não guarda dados de atividade dos assinantes como parte do seu backup.

5. O FBI configura um computador com o Carnivore no provedor para monitorar a atividade do suspeito. A configuração do computador é:
   • processador Pentium III, com sistema operacional Windows NT/2000 com 128 megabytes (MB) de RAM;
   • aplicativo comercial de comunicações;
   • aplicativo C++ personalizado que trabalha junto com o programa do item anterior para fazer a filtragem e farejar os pacotes;
   • um sistema de bloqueio físico, que requer um código de acesso especial para acessar o computador (assim ninguém tem acesso ao sistema Carnivore, só o FBI);
   • um dispositivo de isolamento de rede que torna o sistema Carnivore invisível para o resto da rede (ninguém consegue hackear o sistema a partir de outra máquina);
   • um drive Iomega Jaz (em inglês) de 2GB para armazenar os dados capturados (o drive Jaz usa cartuchos removíveis de 2GB que podem ser trocados facilmente, como disquetes).

6. O FBI configura o programa do Carnivore com o endereço IP do suspeito para que o programa capture somente os pacotes deste local específico. Ele vai ignorar todos os outros pacotes.

7. O Carnivore copia todos os pacotes do sistema do suspeito sem atrapalhar o fluxo do tráfego da rede.

8. Quando as cópias são feitas, elas passam por um filtro que separa somente os pacotes de e-mail. O programa determina o que os pacotes contêm com base no protocolo do pacote. Por exemplo, todos os pacotes de e-mail usam o protocolo SMTP (Simple Mail Transfer Protocol).

9. Os pacotes de e-mail são salvos em um cartucho Jaz.

10. A cada um ou dois dias, um agente do FBI vai até o provedor e troca o cartucho Jaz. O agente coloca o cartucho em um recipiente datado e lacrado. Se o lacre for rompido, a pessoa que o rompeu deve assinar, datar e lacrar o cartucho novamente - do contrário, o cartucho pode ser considerado "comprometido".

11. A vigilância não pode durar mais de um mês sem autorização da justiça. Quando o prazo termina, o FBI retira o sistema do provedor.

12. Os dados capturados são processados usando o Packeteer e o Coolminer.

13. Se os resultados fornecerem provas suficientes, o FBI pode usá-las em um processo contra o suspeito.

O exemplo acima mostra como o sistema identifica quais pacotes armazenar.