其他功能
痕迹清除
了解如何使用痕迹清除功能
不可逆操作
痕迹清除会删除 SIREN 可执行文件及相关文件,此操作不可逆。请确认调查已完成且所有必要数据已保存后再执行。
在应急响应调查完成后,从受害主机上清除 SIREN 相关痕迹并终止客户端进程:
./siren clean输入 y 确认后,将清理以下内容:
| 清理项 | 说明 |
|---|---|
| 环境变量 | 当前进程中的 OSS 与阿里云 AccessKey 环境变量(OSS_ACCESS_KEY_*、ALIBABA_CLOUD_ACCESS_KEY_*) |
| 配置文件 | 当前加载的配置文件(如 config.yaml) |
| 可执行文件目录 | SIREN 可执行文件及其所在目录 |
| 临时文件 | 运行期释放的 WinPTY 临时目录 %TEMP%\winpty-*(仅 Windows) |
清理范围说明
环境变量清理仅作用于当前运行的 SIREN 进程,不会移除写入 shell 配置或其他位置的持久化凭证,也不清除 SOAR_ACCESS_KEY_*。Windows 下可执行文件目录的删除为延迟执行:SIREN 进程退出后,由后台脚本完成目录与临时文件的清理。