Os LiveCDs geralmente funcionam de duas maneiras:
-
Eles montam o sistema de arquivos raiz a partir do CD e, em seguida, adicionam sistemas de arquivos baseados em
tmpfs
para locais (como/var
ou/home
) que devem ser modificados. Nesse caso, é simples: os arquivos principais não foram alterados, pois não estão em um sistema de arquivos gravável. -
Eles montam o sistema de arquivos raiz a partir do CD e, em seguida, adicionam um sistema de arquivos de sobreposição que redireciona todas as modificações para a RAM. Nesse caso, a melhor maneira de verificar as alterações é consultar a documentação do sistema de arquivos de sobreposição em uso e ver como inspecioná-lo em busca de alterações.
Observe que, em ambos os casos, um invasor pode ocultar as alterações feitas por você, violando as ferramentas que você pretende usar. Você não pode examinar um sistema quanto à integridade de dentro do sistema. Você deve inspecioná-lo de fora.