Търся добър начин да видя дали Avira Anti-virus (www.avira.com) напуска някой следи отзад след сканиране. Работя в среда, в която е изключително важно нищо да не се променя и кутията да е изключена от мрежата според потребителските спецификации. Концепцията беше да се използва cksum за наблюдение на всички файлове в кутия, след това да се препрати изход към текстов файл и да се разграничат cksums преди и след Avira.
Опитах:
$ find . | xargs cksum | sort > cksum_A.txt
И
$ find . \! -type p -exec cksum {} \; > cksum_A.txt
Изтрих всички временни и постоянни копия на cksum_A.txt и cksum_B.txt от двата файла, тъй като със сигурност щеше да се използва като разлика.
В множество случаи без да стартирате антивирусната програма между тях, './.local/share/gvfs-metadata...' и './.gconf/apps/nautilus...' бяха установено, че са били модифицирани според разл.
Въпросът е има ли по-добър начин за идентифициране на артефактите на битово ниво? Или просто пренебрегнете тези файлове и продължете напред?
Благодаря!
Мейсън