Meterpreter nunca toca el disco. Entonces, hasta que no haga nada deliberadamente que cambie los recursos en el disco duro y deje evidencia, es probable que no haya evidencia en el disco. Sin embargo, esto no es tan simple. El sistema operativo puede transferir páginas de la memoria al disco cuando el sistema tiene poca memoria. Aunque el código del cargador reflexivo de meterpreter solicita específicamente al sistema operativo que no descargue la página en el disco donde se hospeda el proceso de meterpreter, es solo una solicitud de proceso que puede ser ignorada por el sistema operativo.
No voy a explicar la parte de la red, ya que está fuera del alcance aquí, pero muchas veces también se recopilan pruebas de los registros de la red. SSL no proporcionará ningún beneficio si se lo intercepta en el medio (tiene la opción de fijar el certificado en el código de clasificación), pero la conclusión es que si está preocupado por la medicina forense, asegúrese de estar cubierto por todos lados.