LiveCDs funktionieren im Allgemeinen auf zwei Arten:
Sie mounten das Root-Dateisystem von der CD und fügen dann
tmpfs
-basierte Dateisysteme für Orte (wie/var
oder/home
) hinzu, die geändert werden sollen. In diesem Fall ist es einfach: Die Kerndateien haben sich nicht geändert, da sie sich nicht auf einem beschreibbaren Dateisystem befinden.Sie mounten das Root-Dateisystem von der CD und fügen dann ein Overlay-Dateisystem hinzu, das alle Änderungen an den RAM umleitet. In diesem Fall können Sie am besten nach Änderungen suchen, indem Sie die Dokumentation für das verwendete Overlay-Dateisystem und die entsprechenden Änderungen anzeigen.
Beachten Sie, dass in beiden Fällen ein Angreifer die Änderungen vor Ihnen verbergen kann, indem Sie die von Ihnen verwendeten Tools manipulieren. Sie können ein System nicht innerhalb des Systems auf Integrität prüfen. Sie müssen es von außen inspizieren.