清除Metasploit漏洞的残余物

Question

是否有可能从受损系统中删除Metasploit有效载荷/计量器？我的问题主要是基于反取证(撇开记忆取证，这可能是不可避免的，但更先进)。

Kill命令会处理这个问题吗？

Answer 1

米特普雷特从不碰磁盘。因此，除非您没有刻意改变硬盘上的资源并留下证据，否则磁盘上很可能没有任何证据。然而，这并不是那么简单。当系统内存不足时，OS可以将页面从内存传输到磁盘。尽管meterpreter反射加载程序代码特别要求OS不要将页面刷新到托管meterpreter进程的磁盘，但它只是一个进程请求，操作系统可以忽略它。

我不打算解释网络部分，因为它超出了这里的范围，但是很多时候，从网络日志中也收集到了证据。如果SSL在中间被截获(您可以选择将证书固定在stager代码中)，SSL将不会提供任何好处，但底线是，如果您关心的是法医，请确保您在所有方面都被覆盖。