我正在寻找一种好方法来查看 Avira Anti-virus ( www.avira.com ) 是否在扫描后留下任何痕迹。我在一个环境中工作,其中任何内容都不能被修改,并且盒子按照用户规范与网络断开连接。这个概念是使用 cksum 来监控一个盒子上的所有文件,然后通过管道输出到一个文本文件,并区分 Avira 前后的 cksum。
我努力了:
$ find . | xargs cksum | sort > cksum_A.txt
和
$ find . \! -type p -exec cksum {} \; > cksum_A.txt
我从两个文件中删除了 cksum_A.txt 和 cksum_B.txt 的所有临时和永久实例,因为它肯定会用作差异。
在多个没有运行反病毒程序的情况下,发现“./.local/share/gvfs-metadata...”和“./.gconf/apps/nautilus...”已根据差异。
问题是,有没有更好的方法来识别位级别的伪影?或者只是忽略这些文件并继续前进?
谢谢!
石匠