文件删除

攻击者在系统上删除或创建的恶意软件，工具或其他非本机文件可能会留下关于在网络中执行的操作以及操作方式的痕迹。 攻击者可以在入侵过程中删除这些文件以减少留下的足迹，也可以在入侵后清理过程的最后删除它们。 主机操作系统的一些工具可以执行清理操作，但是攻击者也可以使用其他工具。 如本机 cmd 函数（如 DEL)、安全删除工具（如 Windows Sysinternals SDelete) 或其他第三方文件删除工具。

缓解

识别可能用于删除文件的不必要的系统实用程序、第三方工具或潜在的恶意软件，并在适当的情况下通过使用白名单 工具（如 AppLocker 和软件限制策略 ) 审计和/或拦截它们。

检测

与良性命令行函数（如 DEL 或第三方实用程序或工具）相关的事件在环境中可能并不常见，这取决于用户群以及使用系统的方式。 监视命令行删除函数，将其与攻击者可能删除的二进制文件或其他文件相关联，从而检测恶意活动。 另一个良好的实践是监视已知的删除和可由攻击者引入且先前不在企业网络中的安全删除工具。 某些监视工具可能会收集命令行参数，但可能无法捕获 DEL 命令，因为 DEL 是 cmd.exe 中的本机函数。