(ほぼ) すべてを監視する必要があります ファイル。
このシステムが単なるハッシュ データベースであると仮定すると、いくつかのファイルをスキップする必要があります:
- /proc 内のすべて (ただし、ここにはルート キット ハンターに役立つものがたくさんあります)
- ログ ファイル (これらのファイルのヒューリスティック分析を行うツールがあります)
- ファイルシステムを含むファイル (これにはループバック ファイルシステムとデータベース ファイルが含まれますが、おそらくファイル内の「ファイル」を確認する必要があります)。
- スワップスペース
(難しいのは、変更を適切に監査するためのプロセスを設定することです)
どのファイル整合性監視システムを使用しているかはわかりませんが、Verisys や Tripwire などのほとんどの商用ファイル整合性監視システムは、関連するファイルを「自動的に」監視するように構成できます。
たとえば、Windows Server 2008 と Microsoft SQL Server 2008 を実行していると伝えると、該当するファイルとレジストリ エントリを監視します。