用cksum检查抗病毒伪影

Question

我正在寻找一种很好的方法，看看病毒抗病毒(www.avira.com)是否在扫描后留下任何痕迹。我是在这样一个环境中工作的，在这个环境中，不需要修改任何内容，并且根据用户规范，盒与网络断开连接。这个概念是使用cksum来监视一个框中的所有文件，然后将输出输送到一个文本文件中，并区分前和后的Avira。

我试过：

$ find . | xargs cksum | sort > cksum_A.txt

和

$ find . \! -type p -exec cksum {} \; > cksum_A.txt

我从两个文件中删除了所有临时和永久的cksum_A.txt和cksum_B.txt实例，因为它肯定会被用作区别。

在多个情况下，不运行在中间运行反病毒，‘./..local/share/gvfs-元数据.’还有./..gconf/app/nautilus.‘都被发现被修改了，根据差异。

问题是，是否有更好的方法来识别某一级别的艺术品？还是无视这些文件继续前进？

谢谢!

梅森

Answer 1

您可能希望从单用户模式运行，或者至少关闭GUI来运行扫描，因为GUI应用程序和守护进程很可能在两者之间写入文件。