El empleo de estas listas puede ser una herramienta muy útil a la hora de descubrir cambios no autorizados del sistema de directorios. Un cheklist son cada uno de los nombres de los ficheros que forman parte de un grupo de directorios[Cur90], su tama no, propietarios, fechas de modificación, y otros datos que pueden ser de interés a la hora de comprobar si se ha modificado de forma no autorizada el sistema de ficheros. Para llevar un control de este tipo basta con usar los comandos estándares de UNIX ls y diff. La forma de proceder es la siguiente, primero se usa el comando ls para generar una lista ``maestra''. El mejor momento de hacerlo es justo después de la instalación del sistema operativo. Una forma sencilla de llevarlo a cabo es la siguiente:
# ls -aslgR /bin /etc /usr > ListaMaestraEs conveniente borrar algunas líneas correspondientes a algunos ficheros que se usan a menudo, como el /etc/utmp y el /usr/adm/acct. Para crear una lista con la situación actual del sistema de ficheros basta ejecutar la línea anterior con otro nombre. Una vez hecho esto podemos pasar a compararlos con el comando diff:
# diff ListaMaestra ListaActualLas líneas que están sólo en el primer fichero se imprimirán con un ``<'' delante y las que están únicamente en el segundo fichero se imprimen precedidas de ``>''. Con una construcción adecuada de las listas periódicamente, es fácil detectar posibles cambios no autorizados.