Вообще, так как cow хранит старое нередко, можно анализатор сделать с таймлайном и все накопленные отличия, не перетертые и созданные начиная с предполагаемой даты взлома, показать. С фильтрами.

@kirill @ashed ну, вот потому и с фильтрами :) Есть много всякого, где изменения безвредны и можно сразу автоматом отбросить. Докинуть статик анализатор еще. В общем что то вроде wireshark только для анализа дифов.

@3draven @kirill

The Unix security audit and intrusion detection tool

Tiger is a security tool that can be use both as a security audit and intrusion detection system. It supports multiple UNIX platforms and it is free and provided under a GPL license. Unlike other tools, Tiger needs only of POSIX tools and is written entirely in shell language.

https://www.nongnu.org/tiger/

TIGER has one primary goal: report ways the system’s security can be compromised.

Most of the tools are independent, but some of them rely on specialised external security tools such as John the Ripper, Chkroot and integrity check tools (like Tripwire, Integrit or Aide) to execute some tasks.

https://www.kali.org/tools/tiger/