Me preguntaba si existe una forma establecida de saber qué puede dejar atrás un programa en particular en un sistema (en términos de cambios en un sistema de archivos, como en Linux). Estoy pensando en esto en líneas similares a cómo creo que podría tener lugar una investigación forense.
La forma en que pensé para abordar este problema es similar a la forma en que creo que funciona Tripwire. Primero, haga un hash de directorios, busque los que se han cambiado y, a continuación, reduzca los archivos específicos de los directorios que se modifican. Luego, al utilizar una máquina virtual con instantáneas, puedo volver al estado anterior de la máquina y comparar los cambios futuros con los cambios registrados previamente.
Sé que los directorios logging y tmp cambiarán naturalmente de todos modos. Pero aparte de estos, ¿hay alguna forma de saber qué queda detrás de un sistema, o hay un proceso mejor (o más inteligente) que el que estoy pensando usar?