Visualizza in tutto il file system i file modificati negli ultimi 4 giorni (sostituire con il numero di giorni passati da quando si ritiene essere stata fatta l'instrusione). Può essere utile per individuare tracce lasciate dall'intrusore non coperte. Quando viene modificato un comando come ps, tipicamente la data di modifica viene lasciata inalterata, tuttavia altre tracce di attività illegittima (compilazione del rootkit, modifica di file dove non si è corretta la data ecc.) possono essere rivelate.
Postilla a find / -mtime -4 -print
Nel caso abbiate due o più sistemi operativi sul vostro computer e volete che find si limiti ad esaminare il sistema in uso senza esaminare per esempio il disco windows aggiungete il parametro -mount o -xdev
In pratica :
find / -mtime -4 -mount -print