È possibile rimuovere un payload / meterpreter Metasploit da un sistema compromesso? La mia domanda si basa principalmente su antiforensics (lasciando da parte Memory forensics che è probabilmente inevitabile ma più avanzato).
Il comando Kill si occupa di questo?
Meterpreter non tocca mai il disco. Quindi, fino a quando non fai nulla deliberatamente che modifica le risorse sul disco rigido e lasci prove, è probabile che non ci siano prove sul disco. Tuttavia, questo non è così semplice. Il SO può trasferire le pagine dalla memoria al disco quando il sistema ha poca memoria. Sebbene il codice del caricatore riflettente meterpreter richieda specificamente al sistema operativo di non svuotare la pagina sul disco in cui è ospitato il processo meterpreter, è solo una richiesta di processo che può essere ignorata dal sistema operativo.
Non ho intenzione di spiegare la parte della rete poiché è fuori portata qui, ma molte prove sono raccolte anche dai registri della rete. SSL non fornirà alcun vantaggio se viene intercettato nel mezzo (hai la possibilità di bloccare il certificato nel codice dello stager) ma la linea di fondo è che se sei preoccupato per la medicina legale, assicurati di essere coperto da tutti i lati.
Leggi altre domande sui tag penetration-test metasploit