Специалисты по реагированию на инциденты и цифровой криминалистике F.A.C.C.T. Владислав Азерский и Дмитрий Кардава рассказали, как они работают с образами серверов киберпреступников. При анализе Windows-сервера эксперты разбирают различные журналы событий, многие из которых позволяют вычислить IP-адреса злоумышленников и установить связь киберпреступников с конкретными группировками. Также специалисты просматривают каталоги файлов и другие релевантные артефакты, изучают историю веб-браузеров, учетные записи, файлы cookie, активность в мессенджерах. Это помогает определить, для каких задач использовался сервер, какие программы на нем были установлены и запущены.