Я полностью поддерживаю эту методологию, если Вы делаете ее в судебных целях, и узнать больше о вирусе, и возможно как об осуществлении для определения способов исследовать дельты в виртуальных машинах.
Если Вы делаете это от, "Я хочу восстановить свой сервер с этого вируса, не переустанавливая" точку зрения, то необходимо вновь исследовать цель.
Я не знаю лучший путь, таким образом, я сделал бы это твердый путь, где Вы получаете систему к точке, Вы хотите, прежде чем вирус представлен. Затем Вы загружаетесь в с CD Linux и делаете изображение файловой системы с помощью 'dd'.
Затем запустите машину назад, представьте вирус, завершите работу его снова, перезагрузка с CD, dd снова в другое изображение, затем смонтируйте, что изображения, только для чтения с noexec, монтируют опцию и затем пишут, находят команду, которая выполнила бы разность между файловыми системами один файл за один раз и выходные файлы, которые отличаются.
Теперь, некоторые протесты. Во-первых, потому что этот метод является настолько плохим и настолько медленным, должен быть лучший, но я не знаю, каково это. Во-вторых, там будут некоторыми ложными положительными сторонами. Windows пишет в реестр все проклятое время, таким образом, файлы реестра будут отличаться. Так будут любые файлы конфигурации, которые были изменены, любые обновления, которые начали загружать самостоятельно и т.д. и т.д.
Могло бы на самом деле случиться так, что Вы могли использовать, находят, что-mtime получает те же данные, затем выполняет разность на тех файлах, которые изменились. Так как Вы находитесь в Linux, clamav мог бы сэкономить Вам некоторое время, также.
Что ОС Вы работаете на серверах TS? Вы добавляете эти серверы TS в каком-либо виде равного интервала? Если Вы, то сценарий, Вы хотите работать на DC, как могли планировать, выполнит каждые X minutes/Y часов. У меня нет среды для тестирования этого.