Rimozione dei resti di un exploit Metasploit

1

È possibile rimuovere un payload / meterpreter Metasploit da un sistema compromesso? La mia domanda si basa principalmente su antiforensics (lasciando da parte Memory forensics che è probabilmente inevitabile ma più avanzato).

Il comando Kill si occupa di questo?

    
posta Carlos 07.01.2016 - 19:11
fonte

1 risposta

1

Meterpreter non tocca mai il disco. Quindi, fino a quando non fai nulla deliberatamente che modifica le risorse sul disco rigido e lasci prove, è probabile che non ci siano prove sul disco. Tuttavia, questo non è così semplice. Il SO può trasferire le pagine dalla memoria al disco quando il sistema ha poca memoria. Sebbene il codice del caricatore riflettente meterpreter richieda specificamente al sistema operativo di non svuotare la pagina sul disco in cui è ospitato il processo meterpreter, è solo una richiesta di processo che può essere ignorata dal sistema operativo.

Non ho intenzione di spiegare la parte della rete poiché è fuori portata qui, ma molte prove sono raccolte anche dai registri della rete. SSL non fornirà alcun vantaggio se viene intercettato nel mezzo (hai la possibilità di bloccare il certificato nel codice dello stager) ma la linea di fondo è che se sei preoccupato per la medicina legale, assicurati di essere coperto da tutti i lati.

    
risposta data 07.01.2016 - 19:32
fonte

Leggi altre domande sui tag