ls -lR / só informa o serviço de reparo sem tentar ocultar as faixas. Se eles quiserem instalar um cavalo de Tróia, eles usarão ferramentas não-padrão que não usam os canais normais para acessar o sistema de arquivos.
Você também deve executar find / -xdev -type f -exec sha512sum {} + >before-checksums.txt . Isso armazena uma soma de verificação criptográfica de todos os arquivos comuns. Se o serviço de reparo modificar os arquivos, ele será exibido nas somas de verificação. O setor de boot também é vulnerável; mantenha uma cópia dele, assim como o primeiro setor de cada partição: for x in /dev/sda*; do head -c 512 <"$x" >"${x##*/}.sector1" .
Mesmo isso pode não ser proteção contra um invasor realmente determinado e experiente. Uma soma de verificação criptográfica do disco inteiro seria, mas simplesmente não corresponderia se fizessem tão pouco quanto inicializar a partir do disco (o que atualizaria o último tempo de montagem do sistema de arquivos, escreveria algumas entradas de log e assim por diante).
Quando você recuperar o computador, certifique-se de inicializar a partir de um live CD / USB e não do sistema que você recebe, pois se o sistema foi rootkitted, o kernel provavelmente reportará versões originais dos arquivos e não o disco real. conteúdo (mas usará o conteúdo do disco para instalar algum tipo de backdoor durante a inicialização).
Claro, se eles decidirem ler dados privados no disco, você não saberá.
Por que você não tira o disco?
(E espero que eles não instalem um firmware trojan, por exemplo, na placa-mãe (BIOS) ou na placa de rede.)