Оперируйте с системой, отсоединенной от сети
Если возможно, полностью отсоедините исследуемую систему от сети во время сбора данных. Если система соединена с сетью, при сборе данных вы можете иметь дело с движущейся целью. Файлы журналов могут заполняться, дисковые области - перезаписываться, а сервисы - отключаться. В худшем случае, если атакующие все еще имеют доступ к системе (а вы никогда не можете быть полностью уверены в обратном), они могут обнаружить вашу активность и замести следы, став неуловимыми.
Если система была отключена в результате атаки, вы можете оказаться под сильным давлением требующих вернуть ее в сеть как можно быстрее. Для производственных систем, продолжающих работать, также возможно сопротивление их отключению. Мера, конечно, непопулярная, но попробуйте отключить систему от сети, по крайней мере на время сбора данных. Подождите окончания рабочего дня, если необходимо, и объявите это периодом обслуживания системы. Сделайте копию подозрительных данных (если можно, скопируйте весь жесткий диск). Затем вы можете вернуть систему в эксплуатацию и свести к минимуму длительность ее отключения для пользователей на время выполнения вашей работы. Это подводит нас к следующему пункту.
