• Непонимание того, как правильно собирать и оформлять цифровые улики, когда инцидент уже случился: часто именно неумелые действия администраторов/пользователей окончательно хоронят любые надежды на то, что в ходе расследования получится найти и проанализировать хоть что-то
• СЗИ «молчат», когда на хосте происходит что-то странное: хост тормозит, «бегает» мышка, компьютер перезагружается сам по себе и т.п.

Знакомим со стандартами, ПО, алгоритмами, которые позволяют:

• собирать и документировать цифровые улики;
• детектировать вручную факт заражения вредоносным ПО, когда не реагируют СЗИ.

• Специалисты правильно изымают (не портят) цифровые улики: ПО, последовательность действий
• Специалисты корректно документируют процесс идентификации улик и их правильного изъятия (формальная сторона)
• Специалисты понимают, куда смотреть в первую очередь, чтобы определить, что хост заражен с определенной долей вероятности (либо исключить факт заражения)