Программное обеспечение отдельных Internet-провайдеров включает механизм для создания сообщения об инциденте и отправки его по указанному электронному адресу.
Как только получена готовая политика, которая диктует вам, как реагировать при возникновении инцидента, необходимо создать ряд инструментов для ее выполнения. Это затрагивает весь спектр чрезвычайных событий, от незначительных шалостей до полномасштабного вторжения. Вам заранее нужно знать, как файлы хранятся на диске, как различные процессы влияют друг на друга, как настраивается программное обеспечение и какие виды регистрации можно отслеживать. И это нужно знать для каждой операционной системы, которую вы собираетесь расследовать. Первым шагом в любом криминальном расследовании является резервное копирование всей информации, которая у вас есть. К сожалению, это подразумевает не только копирование драйвов. Первый вопрос по прибытии на место расследования — как получить копию содержимого оперативной памяти скомпрометированной системы. В памяти компьютера может находиться какая-нибудь улика, и вам нужно до нее добраться. Известно, что не все операционные системы поддерживают возможность сброса содержимого оперативной памяти на диск. Общая проблема копирования взломанной системы перед ее отключением состоит в том, что любое ее использование до некоторой степени повреждает улики.
Есть программные средства, предназначенные для получения «образа» системы с последующим восстановлением ее в определенном режиме. Эти же средства можно применять и для копирования драйвов скомпрометированной системы. Преимущество программных средств заключается в том, что многие из них запускаются из DOS и способны посылать копии по сети. Большинство профессиональных программ копирования, применяемых в сетевой криминалистике, могут получать контрольные суммы по дайджест-алгоритму MD5 для проверки целостности информации. Некоторые из них полностью предназначены для криминалистической работы и способны не только копировать жесткие диски. Есть даже такие, которые полностью включают языки для написания скриптов, чтобы помочь автоматизировать использование своих функций.
