,,,, malware prospektering og udvinding af linux system, med en metodisk tilgang til behandlingen af områder af kompromitteret system, der er mest tilbøjelige til at indeholde spor af malware montering og anvendelse øger chancerne for, at alle spor af et kompromis vil blive afsløret, især når der udføres med feedback fra de statiske og dynamiske analyser, der omhandles i kapitel 5 og 6.,,, søgen efter kendte malware, anvende karakteristika fra kendte malware til at gennemsøge fil system, til de samme eller lignende punkter på kompromitteret computer.,,, mange ubudne gæster vil bruge let genkendelige programmer såsom kendte rootkits, tast overvågning progra- snøfterne og anti - retsmedicinsk værktøj (f.eks. touch2, shsniff, sshgrab,).der er flere metoder til at lokalisere kendt malware på en retsmedicinsk eksemplarer af en kompromitteret computer.,,,, har han og fil egenskaber: efter en retsmedicinsk eksemplarer af en kompromitteret system for hash værdier tilsvarende kendte malware kan udpege andre filer med samme data, men forskellige navne.ud over at benytte en hash - database, som nsrl, en anden tilgang til identifikation af ondsindede koder, er at se på afvigelser fra kendte godt konfigurationer af systemet.nogle linux systemer har en træk at efterprøve integriteten af mange installerede komponenter, hvilket vil være en effektiv måde at identificere usædvanlige eller af filer.for eksempel, omdrejninger pr. minut - va, linux er udformet til at kontrollere alle pakker, der er monteret med redhat pakke manager.f.eks. resultaterne af denne kontrol i forbindelse med t0rnkit scenario er vist i figur 3.3 viser binaries, som har forskellige filesize (s), modus (m) og md 5 (5) end forventet.nogle af disse binaries har også forskelle i bruger (e), gruppe (g) og modificerede (t).med rpm, er det også muligt at angive en kendt god database med, - - dbpath mulighed, når der er bekymring for, at databasen om systemet ikke er pålidelige.,,,,,&#rpm – va - – rodfrugter = /mntpath /dokumentation