LiveCD обычно работают одним из двух способов:
Они монтируют корневую файловую систему с компакт-диска, а затем добавляют
tmpfs
основанные на файловых системах места (например,/var
или/home
), которые должны быть изменены. В этом случае все просто: основные файлы не изменились, поскольку они не находятся в файловой системе с возможностью записи.Они монтируют корневую файловую систему с компакт-диска, а затем добавляют оверлейную файловую систему, которая перенаправляет все изменения в ОЗУ. В этом случае лучший способ проверить наличие изменений - это посмотреть документацию по используемой файловой системе с наложением и посмотреть, как проверить ее на наличие изменений.
Обратите внимание, что в любом случае злоумышленник может скрыть изменения от вас, вмешавшись в инструменты, которые вы собираетесь использовать. Вы не можете проверить систему на целостность изнутри системы. Вы должны осмотреть это снаружи.