Meterpreter non tocca mai il disco. Quindi, fino a quando non fai nulla deliberatamente che modifica le risorse sul disco rigido e lasci prove, è probabile che non ci siano prove sul disco. Tuttavia, questo non è così semplice. Il SO può trasferire le pagine dalla memoria al disco quando il sistema ha poca memoria. Sebbene il codice del caricatore riflettente meterpreter richieda specificamente al sistema operativo di non svuotare la pagina sul disco in cui è ospitato il processo meterpreter, è solo una richiesta di processo che può essere ignorata dal sistema operativo.
Non ho intenzione di spiegare la parte della rete poiché è fuori portata qui, ma molte prove sono raccolte anche dai registri della rete. SSL non fornirà alcun vantaggio se viene intercettato nel mezzo (hai la possibilità di bloccare il certificato nel codice dello stager) ma la linea di fondo è che se sei preoccupato per la medicina legale, assicurati di essere coperto da tutti i lati.