-
Se você quiser simplesmente responder à pergunta "quais arquivos neste sistema foram alterados", use uma ferramenta que gere somas de verificação para todos os seus arquivos. Execute-o antes que o consultor faça alterações, execute-o posteriormente e procure por arquivos que foram alterados. Armazene os resultados em alguém que não seja no sistema. E, claro, esteja ciente de que alguns arquivos mudam regularmente como parte do funcionamento normal das coisas.
As ferramentas que executam essa tarefa geralmente são chamadas de "verificadores de integridade de arquivo". As soluções incluem tripwire , assistente , assistente e outros. Este artigo do autor do Samhain é uma visão geral razoavelmente boa de vários verificadores de integridade de arquivos. Eu não usei nada disso recentemente.
-
Se você realmente deseja ver o conteúdo antes e depois, uma opção é fazer backup de tudo primeiro e depois comparar o estado do sistema com os backups. Você poderia usar algo tão simples como
taroursyncpara fazer seu backup e, posteriormente, comparar os backups com o estado atual do sistema. Você pode usar qualquer ferramenta selecionada para (1) identificar os arquivos que foram alterados e comparar os backups e o arquivo atual. -
Se você não estiver preocupado com alterações maliciosas e tiver uma configuração baseada em LVM, poderá ignorar a etapa de backup em (2) criando um instantâneo em seus sistemas de arquivos. A razão pela qual isso não protege contra alterações maliciosas é, obviamente, que os snapshots compartilham o mesmo armazenamento que os arquivos originais e alguém com intenção maliciosa pode simplesmente atualizar os snapshots, mas fornece uma solução com relativamente poucos requisitos de recursos. / p>