1.3.報警

　　通常，如果你想進行任何類型的調查或者起訴入侵者，最好先跟管理人員和法律顧問商量以下。然后通知有關執法機構。

　　一定要記住，除非執法部門的參與，否則你對入侵者進行的一切跟蹤都可能是非法的。

1.4.知會其他有關人員

　　除了管理者和法律顧問之外，你還需要通知你的恢復工作可能影響到的人員，例如其他網絡管理人員和用戶。

2.記錄恢復過程中所有的步驟

　　毫不夸張地講，記錄恢復過程中你采取的每一步措施，是非常重要的。恢復一個被侵入的系統是一件很麻煩的事，要耗費大量的時間，因此經常會使人作出一些草率的決定。記錄自己所做的每一步可以幫助你避免作出草率的決定，還可以留作以后的參考。記錄還可能對法律調查提供幫助。

1.將被侵入的系統從網絡上斷開

　　為了奪回對被侵入系統的控制權，你需要將其從網絡上斷開，包括播號連接。斷開以后，你可能想進入UNIX系統的單用戶模式或者NT的本地管理者(local administrator)模式，以奪回系統控制權。然而，重啟或者切換到單用戶/本地管理者模式，會丟失一些有用的信息，因為被侵入系統當前運行的所有進程都會被殺死。

　　因此，你可能需要進入C.5.檢查網絡嗅探器節，以確定被侵入的系統是否有網絡嗅探器正在運行。

　　在對系統進行恢復的過程中，如果系統處于UNIX單用戶模式下，會阻止用戶、入侵者和入侵進程對系統的訪問或者切換主機的運行狀態。

如果在恢復過程中，沒有斷開被侵入系統和網絡的連接，在你進行恢復的過程中，入侵者就可能連接到你的主機，破壞你的恢復工作。

2.復制一份被侵入系統的影象

　　在進行入侵分析之前，建議你備份被侵入的系統。以后，你可能會用得著。

　　如果有一個相同大小和類型的硬盤，你就可以使用UNIX命令dd將被侵入系統復制到這個硬盤。

　　例如，在一個有兩個SCSI硬盤的Linux系統，以下命令將在相同大小和類型的備份硬盤(/dev/sdb)上復制被侵入系統(在/dev/sda盤上)的一個精確拷貝。

# dd if=/dev/sda of=/dev/sdb

　　請閱讀dd命令的手冊頁獲得這個命令更詳細的信息。

　　還有一些其它的方法備份被侵入的系統。在NT系統中沒有類似于dd的內置命令，你可以使用一些第三方的程序復制被侵入系統的整個硬盤影象。

　　建立一個備份非常重要，你可能會需要將系統恢復到侵入剛被發現時的狀態。它對法律調查可能有幫助。記錄下備份的卷標、標志和日期，然后保存到一個安全的地方以保持數據的完整性。