我正在寻找一种很好的方法来查看Avira Anti-virus(www.avira.com)是否在扫描后留下任何痕迹。我正在一个不需要修改任何内容的环境中工作,并且根据用户规范,该框与网络断开连接。这个概念是使用cksum监视一个盒子上的所有文件,然后将输出管道输出到一个文本文件,并对Avira之前和之后的cksums进行差异化。
我试过了:
$ find . | xargs cksum | sort > cksum_A.txt
和
$ find . \! -type p -exec cksum {} \; > cksum_A.txt
我从两个文件中删除了cksum_A.txt和cksum_B.txt的所有临时和永久实例,因为它肯定会被用作差异。
在多种情况下没有在其间运行反病毒,'。/。local / share / gvfs-metadata ...'和'./.gconf/apps/nautilus .. 。'被发现根据差异进行了修改。
问题是,是否有更好的方法来识别位级上的伪像?或者只是忽略这些文件并继续前进?
谢谢!
梅森
答案 0 :(得分:1)
您可能希望从单用户模式运行,或者至少关闭GUI以运行扫描,因为GUI应用程序和后台程序可能会在其间写入文件。