Выполняя действия для выхода из сложившейся ситуации, команда CERT должна проводить расследование, при этом занимаясь восстановлением систем и данных. К сожалению, сама сущность взлома вынуждает задуматься о восстановлении. Резервные копии или изолированные, запасные системы на этом этапе просто незаменимы.
Чтобы восстановить системы, команда реагирования должна вернуть в рабочее состояние поверженные системы или приложения, например, серверы проверки подлинности, серверы баз данных, и все остальные производственные ресурсы.
Настоятельно рекомендуется иметь в распоряжении готовое к использованию запасное оборудование, например, дополнительные жёсткие диски, серверы для быстрой замены и т.д. На запасных компьютерах нужно установить и подготовить к немедленному использованию всё производственное программное обеспечение. Импортироваться должны только самые новые и нужные данные. Эти подготовленные системы должны быть изолированы от всей остальной сети. Если сеть скомпрометирована, и к ней подключена резервная система, создание этой системы теряет всякий смысл.
Восстановление системы может быть утомительным процессом. В любой ситуации есть два направления действий. Администраторы могут заново установить операционную систему на каждом поражённом компьютере, а затем восстановить все приложения и данные. Они могут поступить и по-другому: исправить уязвимости, которыми воспользовался взломщик, и вернуть поражённые системы в рабочее состояние.
Переустановка системы с нуля гарантирует, что компьютер очищен от всякого рода троянских программ, чёрных ходов или вредоносных процессов. Переустановка также гарантирует, что все данные (восстановленные из доверенного источника резервных копий) не искажены злоумышленником. Такой подход к восстановлению проигрывает во времени, которое уйдёт на воссоздание системы с нуля. Однако, если предварительно была создана резервная система для быстрой замены и остаётся только закачать последние данные, это кардинально снижает время простоя системы.
Исправление поражённых систем — более опасное направление и следовать ему нужно крайне внимательно. Недостаток исправления системы в сравнении с переустановкой состоит в том, что при этом система не очищается от троянских коней, чёрных ходов и испорченных данных. Многие средства rootkits (программы или пакеты, используемые взломщиком для получения в системе прав root), системные команды и оболочки с внедрённым вредоносным кодом тщательно скрывают своё присутствие. Если выбрано это направление, следует использовать только проверенные двоичные файлы (например, с CD-ROM без возможности записи).