Me recuerda a Tripwire que crea sumas de verificación criptográficas de los archivos que especifique. Instale una copia del sistema que está comprobando desde una fuente buena conocida (DVD, por ejemplo), instale las mismas actualizaciones del sistema de destino), haga que tripwire cree el archivo de suma de comprobación. Copie el archivo de suma de control de Tripwire al sistema de destino, haga que Tripwire compare el archivo de suma de control con los archivos del sistema de destino.
Por supuesto, las actualizaciones / actualizaciones / instalaciones / archivos de configuración no sincronizados del sistema se marcarán / marcarán como modificados.
Actualización 2018-05-06:
También debo agregar que el sistema de destino debe verificarse sin conexión. Si el objetivo se ha visto comprometido, el hardware, el firmware de arranque, el kernel del sistema operativo, los controladores del kernel, las bibliotecas del sistema, los archivos binarios ya pueden haberse visto comprometidos e interferir o devolver falsos positivos. Incluso correr a través de una red hacia el sistema de destino podría no ser seguro ya que el sistema de destino (comprometido) estaría procesando los paquetes de red, el sistema de archivos, el dispositivo de bloqueo, etc.
El escenario comparable más pequeño que viene a la mente son las tarjetas inteligentes (EMV utilizado en tarjetas de crédito, PIV utilizado por el gobierno federal, etc.). Sin tener en cuenta las interfaces inalámbricas y todas las protecciones hw / electric / rf, la interfaz de contacto es esencialmente un puerto serie, tres o dos cables. La API está estandarizada y en caja blanca, por lo que todos están de acuerdo en que es impermeable. ¿Protegieron los datos en tránsito, en la memoria de tiempo de ejecución, en reposo en la memoria flash?
Pero la implementación es de código cerrado. Puede existir una puerta trasera en el hardware para copiar todo el tiempo de ejecución y la memoria flash. Otros pueden manipular los datos en tránsito entre el hardware y las memorias internas, el sistema operativo de la tarjeta inteligente o las E / S desde / hacia la tarjeta. Incluso si los compiladores hw / fw / sw / son de código abierto, tendría que auditar todo en cada paso y aún así podría perder algo en lo que usted / todos los demás no pensaron. La paranoia puede enviarte a una sala de goma blanca.
Perdón por salir corriendo por una tangente de paranoia. En serio, saca las unidades de destino para probar. Solo tiene que preocuparse por la unidad de destino hw / fw entonces. Mejor aún, simplemente saque los platos HDD / chips flash SSD para probar (suponiendo que su sistema de prueba sea dorado). ;)