Metasploit is een van de populairste hackertools op het internet en voorzien van een manier om geen sporen achter te laten, maar forensische onderzoekers hoeven niet meer te wanhopen. Tijdens de Black Hat USA conferentie zal er een tool verschijnen die onderzoekers helpt om aanvallen te reconstrueren, ook al zijn er geen sporen op de schijf te vinden. De "anti-" anti-forensische tool is het werk van Steve Davis en Peter Silberman en draagt de naam 'Metasploit Forensics Framework'.

De tool moet blootleggen wat de Meterpreter payload op de machine heeft uitgevoerd. MeterPreter schrijft alles in het geheugen en niet op de harde schijf, waardoor het bijna ondetecteerbaar is. Vervolgens kan het bestanden up- en downloaden, aanvullende code uitvoeren en een eigen command shell openen. De tool van Davis en Silberman kan detecteren of Meterpreter in het geheugen aanwezig is, welke bestanden het heeft bekeken en of er registersleutels zijn aangepast.

Wapenwedloop
"Je ziet de aanvallen niet gebeuren als ze niets naar de schijf zouden schrijven. Wij laten zien hoe we een plaats delict in het geheugen kunnen reconstrueren". aldus Davis. De tool kan de unieke pakketten van Meterpreter herkennen. Volgens de onderzoekers staan tools voor het forensisch analyseren van geheugen nog in de kinderschoenen en zijn de eerste programma's pas een jaar beschikbaar. Het tweetal gaat ervan uit dat de ontwikkelaars van Metasploit spoedig met een update komen zodra hun tool beschikbaar is.