清除持久性

对手可能会清除与先前在主机系统上建立的持久性相关的工件，以删除其活动的证据。这可能涉及各种操作，例如删除服务、删除可执行文件、修改注册表、Plist 文件修改 或其他清理方法，以防止防御者收集其持久存在的证据。(引用: Cylance Dust Storm) 对手还可能删除先前创建的账户以保持持久性（即 创建账户）。(引用: Talos - Cisco Attack 2022) 在某些情况下，持久性的工件可能会在对手的持久性执行后被删除，以防止新实例的恶意软件出现错误。(引用: NCC Group Team9 June 2020)