Per i sistemi basati su Windows, ho visto che le modifiche apportate al Registro di sistema o alle Directory di sistema sono alcune delle cose che vengono utilizzate per tracciare se una macchina è stata compromessa. Cose simili devono esistere per altre piattaforme - e devo ammettere che non ne sono a conoscenza.
La mia curiosità qui è che quali sono le migliori metriche che un personale di sicurezza potrebbe voler sfruttare (presso l'host stesso o a livello di amministratore di rete) per decidere se un sistema è stato compromesso e farlo in un sistema operativo modo agnostico? Cioè, queste metriche non dovrebbero cambiare - indipendentemente da Windows, * nix, Mac o dispositivi palmari con Android ecc.