使用 cksum 检查防病毒伪影

Posted 2023-02-16

【中文标题】使用 cksum 检查防病毒伪影

【英文标题】：Check for Anti-Virus Artifacting with cksum

【发布时间】：2012-06-22 14:14:33

【问题描述】：

我正在寻找一种好方法来查看 Avira Anti-virus (www.avira.com) 在扫描后是否留下任何痕迹。我在一个环境中工作，其中任何内容都不能被修改，并且盒子按照用户规范与网络断开连接。这个概念是使用 cksum 来监控一个盒子上的所有文件，然后通过管道输出到一个文本文件，并区分 Avira 前后的 cksum。

我试过了：

$ find . | xargs cksum | sort > cksum_A.txt

和

$ find . \! -type p -exec cksum  \; > cksum_A.txt

我从两个文件中删除了 cksum_A.txt 和 cksum_B.txt 的所有临时和永久实例，因为它肯定会被用作区别。

在多种情况下没有在“./.local/share/gvfs-metadata...”和“./.gconf/apps/nautilus.. .' 被发现是根据diff修改过的。

问题是，有没有更好的方法来识别位级别的伪影？还是直接忽略这些文件并继续前进？

谢谢！

梅森

【参考方案1】：

您可能希望从单用户模式运行，或者至少关闭 GUI 来运行扫描，因为 GUI 应用程序和守护程序可能会在两者之间写入文件。

【讨论】：

啊，这是一个非常好的观点 - 我会尽快尝试并回复您。

好的，所以在非单用户模式下运行[即使在重新安装后也无法激活写入 root shell 后]，但是通过进入文本终端模式，所有问题都得到了解决。但是，我找不到使 cksum 静音的好方法 [-S 仅与 -c --check 一起使用]。有什么建议吗？

@MasonWinsauer 我不确定您要静音什么 - cksum 报告错误吗？我想您可以将查找限制为 -type f 以仅执行普通文件，并执行一些操作以排除 /proc 和 /sys。

只是为了将修改临时文件的可能性降至最低。哦，好的，谢谢大家！