Есть ли способ зарегистрировать все файлы, которые изменяются?
Ситуация такова, что я хочу расследовать подозрительную программу. Поэтому я запускаю запись в журнал, запускаю программу, а затем прекращаю запись в журнал и просматриваю список файлов.
Я использую этот фрагмент dtrace, но он также включает в себя:
dtrace -n 'syscall::open*:entry { printf("%s %s",execname,copyinstr(arg0)); }'
Было бы весьма полезно иметь список только тех файлов, которые были изменены.