Copia dei "file di log" relativi agli accessi illeciti comprensivi della data, dell´ ora, della durata della connessione dell´ intruso nonchè dell´indirizzo IP (un codice numerico che consente di identificare un computer connesso a Internet) da questo utilizzato per porre in essere tale operazione.
I server dispongono di sistemi di “auditing” finalizzati alla registrazione di numerose attività svolte sugli stessi, sia per motivi diagnostici e di manutenzione, sia per motivi di sicurezza. La registrazione delle attività avviene in maniera cronologica in specifici file detti “file di log”. É così possibile ad esempio tenere traccia di ogni accesso e di ogni tentativo di intrusione al sistema, nonchè effettuare la ricostruzione di una sequenza di eventi dall´inizio alla conclusione degli stessi. Una delle prime operazioni svolte dall´hacker su un server violato è proprio quella di alterare o eliminare i file di log in maniera tale da cancellare le tracce dell´intrusione e delle attività svolte sul server stesso. Nel caso in cui questa operazione non fosse effettuata alla perfezione, sarebbero riscontrabili elementi, come ad esempio l´IP dinamico assegnato dal provider alla macchina dell´ hacker, con il quale questo si è connesso al server da attaccare, tali da permetterne una facile identificazione. Disponendo di tali dati la polizia giudiziaria potrà richiedere all´ autorità giudiziaria l´emissione di decreti di acquisizione di file di log che andranno notificati al provider che ha assegnato l´IP "incriminato" o alla società che gestisce tale indirizzo, per ottenere i dati dell´ utente ed il "caller id" utilizzato nella connessione.

Dichiarazione di corretto "settaggio" degli orologi della macchina attaccata e relativo fuso orario utilizzato.
Spesso nelle indagini informatiche la polizia giudiziaria deve ricorrere agli organi investigativi esteri poichè gli indirizzi IP utilizzati per portare l´attacco sono stati assegnati a provider e società che stanno fuori dal territorio nazionale. In questo caso, risulta di fondamentale importanza indicare il fuso orario utilizzato dall´orologio del server attaccato. Nel caso in cui gli orologi della macchina non fossero perfettamente allineati all´orario corrente bisognerà farne espressa dichiarazione all´atto della denuncia indicando l´esatto "sfasamento temporale".

Indicazione del tipo di rete in cui è inserita la macchina attaccata.
L’indicazione del tipo di rete può rivelarsi molto utile perchè permette di identificare eventuali “punti deboli” e può essere utilizzata come base di partenza per una attenta analisi di quanto accaduto. Inoltre, da essa saranno ricavati i controlli di integrità prioritari da effettuare sulle macchine della stessa rete onde accertare che le stesse non siano state compromesse. Risulta infatti evidente che, ad esempio, se una macchina è in rapporto di “trusted” con un’altra, l ‘essere riusciti ad ottenere dei privilegi su una equivale, quasi, ad averli anche sull´altra. La collaborazione dell´amministratore di sistema sarà determinante in questa fase poichè nessuno, almeno in teoria, conosce un sistema meglio di colui che lo amministra.

Indicazione del sistema operativo e dei principali applicativi installati nella macchina.
Questa indicazione risulterà di estrema utilità per capire se l´intrusore abbia sfruttato, per accedere alla macchina, qualche "bug" noto. Una delle attività svolte dall´ hacker è, infatti, quella di tenersi costantemente aggiornato, mediante discussioni svolte su appositi canali IRC, messaggi postati sui newsgroup, consultazione di siti web eccetera, sui vari errori di programmazione presenti nei diversi sistemi operativi. Essi sono denominati “bug” e la loro conoscenza permette, tramite appositi applicativi chiamati exploit, di sfruttarli al fine di penetrare all´interno dei sistemi stessi. Poichè il bug è, come abbiamo detto, un errore di programmazione, e, dal momento che probabilmente nessun programma ne è immune, vi sono circa trenta segnalazioni al giorno consultabili nelle mailing list specializzate nel settore sia dagli hacker che dagli amministratori di sistema. Ne consegue che la competizione tra l´amministratore di sistema e l´hacker è sempre aperta poichè, ad ogni bug scoperto dall´hacker, segue la crezione di applicativi chiamati “patch”, che servono eliminare il difetto del sistema sfruttato dai bug. Il termine bug, che in inglese significa insetto, deriva da una farfalla che, nel settembre del 1949, si incastrò all´interno di un contatto di un relay dell´ ENIAC (Electronic Numerical Integrator and Calculator), causandone alcune anomalie di funzionamento.

Nominativo del responsabile tecnico della macchina attaccata che potrà fornire ogni ulteriore precisazione tecnica ritenuta necessaria alle indagini.

Indicazione delle operazioni compiute dall´intrusore e stampa dei file dai quali possa evincersi la condotta dello stesso.