А чем, по вашему мнению, пальчики так сильно отличаются от логов?
ИМХО, как минимум тем, что логи можно удалять (хотя пальчики тоже можно стереть, но с логами сложнее) и, что ещё хуже, попытаться модифицировать.
А доказательства того кто именно эти действия совершал Вы где будете искать?
Конечно, основной источник доказательств – это жёсткий диск подозреваемого. А если он его просто отформатировал? Да ещё и сверху пару раз, для пущей надёжности, чего-нибудь записал? Вообще, я имел ввиду, например, оставшийся в логах IP или MAC адреса, если взломщик не использовал анонимный proxy-сервер, или ещё что-нибудь в этом духе.
Проанализировали мы тут несколько практических случаев.
Спасибо, обязательно посмотрю!