Linux'te sistem dosya değişikliklerini izlemek (aka 'regshot')

Windows malware analizlerinde en çok kullanılan araçlardan birisi pre-infection ve post-infection arasındaki registry farkını alan regshot aracıdır.

Linux'te benzer bir çözüm için şu yöntemi kullanabilirsiniz;

1-) find / | grep -v '^/proc' > snapshot1 komutuyla değişiklikten önceki sistemin görüntüsü alınır
2-) find / | grep -v '^/proc' > snapshot2 ile değişiklikten sonraki sistemin görüntüsü alınır
3-) diff -crB snapshot1 snapshot2 > degisiklikler

komutuyla iki durum arasındaki fark degisiklikler dosyasına yazılır

Fark görüntüleme için vim/nano gibi metin bazlı ya da Meld ve KDiff3 gibi GUI çözümleri kullanabilirsiniz.

Furkan ÇALIŞKAN

Read more posts by this author.