Skript findet und bekämpft Bedrohungen
19. Februar 2010Neben den üblichen Maßnahmen zur Bekämpfung von Schadsoftware, wie dem Einsatz von Anti-Virus-Lösungen, ist es für Systemadministratoren immer wichtiger, auch andere „Eindringlinge“ im Netz schnell und effizient zu identifizieren und zu beseitigen. Entsprechende Scans „von Hand“ über alle Server auszuführen, erweist sich in der Praxis als zu zeitaufwändig und extrem fehleranfällig.
Die von Jim Turner entwickelte und hier vorgestellte Skript-Lösung kann helfen, solche Dateien schneller und zuverlässiger zu finden: den Cyber Threat Scanner. Er bindet mit Hilfe von VBScript zwei weitere kostenlose Programme (Agent Ransack sowie die Freeware-Variante der kommerziellen Lösung FileLocator Pro) zu einer schlagkräftigen Waffe gegen die Eindringlinge zusammen.
Die Entscheidung, hierbei nicht ausschließlich auf VBScript-Programme zu setzen und die beiden zusätzlichen Programme einzubinden, geschah aus Performance-Erwägungen: Eine reine Skript-Lösung würde die Bearbeitungszeit deutlich erhöhen.
Ein Administrator kann jeden Tag unvermittelt vor der Herausforderung stehen, seine Systeme auf das Vorhandensein bekanntermaßen schädlicher Dateien zu untersuchen, die ins Firmennetzwerk gelangt sind. Selbst mit gut funktionierenden und bestens gepflegten Anti-Virus-Programmen auf allen Systemen besteht doch immer wieder die Möglichkeit, dass derartige Schadprogramme ins Netz und auf die Rechner gelangt sind.
Zudem sind die Updates der Anti-Virus-Lösungen grundsätzlich immer nur so aktuell, wie es die Informationen über aktuelle Bedrohungen zulassen: So sind die Änderungen für die Sicherheitsprogramme in der Regel erst dann erhältlich, wenn ein neuer Eindringling konkret entdeckt wurde. Das bedeutet auch, dass im günstigsten Fall wenigsten eine Firma zum unfreiwilligen Versuchsobjekt für einen Angriff oder einen Einbruch ins Netzwerk wurde.
Ganz sicher sieht der Regelfall bei den professionellen Anwendern so aus, dass die Systeme im eigenen Netzwerk gut gesichert sind und die Eindringlinge sich auf die „üblichen Verdächtigen“ beschränken: Das sind dann zumeist Desktop-Viren, die von den Anwender aufgrund eines verlockenden E-Mail-Angebots oder durch den unbedachten Download einer Datei aus dem Internet geladen werden und so den Alarm der Anti-Virus-Programme auslösen.
Weiterhin sind sich die meisten Systembetreuer der Gefahren bewusst, die immer wieder die Systemsicherheit bedrohen: Sie vermeiden es deshalb auch, mit den Rechten eines Administrators zu arbeiten, wenn sie normale Aufgaben wie das Lesen der E-Mails oder eine Suche auf Webseiten durchführen.
Trotzdem ist es auf jeden Fall notwendig und nützlich, ein System zur Hand zu haben, das als „Feuerwehr“ zum Einsatz kommen kann, wenn die eigenen Computer im Netzwerk sofort auf mögliche schädliche Dateien untersucht werden müssen. Dabei ist es ganz gleich, ob eine solche schädliche Datei mittels eines Virusangriffs, durch einen Wurm, durch einen Hacker-Einbruch oder über irgendeinen anderen Weg auf die Rechner gelangte.
Ein weiterer Grund für den Besitz und Einsatz eines derartigen Werkzeugs besteht darin, dass es heute durch viele Sicherheitsinitiativen und -vorschriften häufig zu den Pflichten der Systemverwalter gehört, die ihnen anvertrauten Systemen regelmäßig nach dem Vorhandensein (oder besser Nicht-Vorhandensein) bestimmter Dateien oder Dateitypen zu untersuchen, selbst wenn kein konkreter Verdachtsfall aufgetaucht ist.
Leider stehen den Administratoren von Windows-Systemen bei den „Standard-Bordmitteln“ keinerlei Hilfen zur Verfügung, die einen einfachen und umfassenden Scan nach solchen Dateien über eine gesamte Domäne hinweg erlauben. In diesen Fällen bleibt dann nur die ressourcen- und zeitaufwändige manuelle Untersuchung der Rechner durch das IT-Personal.
Sinnvolle Kombination von Programmen zur Schädlingsbekämpfung
Unser Autor Jim Turner hat deshalb die Lösung „Cyber Threat Scanner“ entwickelt, die mit Hilfe von VBScript zwei weitere Programme von Drittherstellern zu einer schlagkräftigen Waffe gegen die Eindringlinge zusammenbindet. Die Entscheidung, hierbei nicht ausschließlich auf VBScript-Programme zu setzen und die beiden zusätzlichen Programme einzubinden, geschah aus Performance-Erwägungen: Eine reine Skript-Lösung würde die Bearbeitungszeit deutlich erhöhen.
Das erste Hilfsprogramm, das bei diesem Projekt zu Einsatz kommt, ist eine Freeware, die von der Firma Mythicsoft angeboten wird und den Namen „Agent Ransack“ trägt. Dieses Programm arbeitet als Suchmaschine in unserem „Cyper Threat Scanner“ und durchforstet die Systeme nach den Dateien, die der Administrator auffinden möchte. Die Software, bei der es sich um die Freeware-Variante der kommerziellen Lösung „FileLocator Pro“ der englischen Softwarefirma handelt, kann direkt von der Webseite des Herstellers heruntergeladen werden.
Die zweite Software stammt aus dem großen Pool der Public-Domain-Programme und trägt die Bezeichnung „MD5deep“. Sie ist in der Lage, von Dateien MD5-Hashes zu erstellen und dann Hash-Vergleiche auf diese Dateien auszuführen. Diese Vergleichsergebnisse werden dann mit einer Liste von bekannten schädlichen Dateien abgeglichen. Die Software kann unter md5deep.sourceforge.net heruntergeladen werden.
Damit die Lösung schnell arbeiten kann und auch dabei in der Lage ist, mehrere Systeme zur gleichen Zeit zu untersuchen, war es notwendig, sie als Multi-Threaded-Programm anzulegen. Dabei handelt es sich aber tatsächlich nicht um eine echte Multi-Threaded-Anwendung, sondern um eine „Pseudo-Multi-Threaded“-Lösung, die ein zweites Skript mehrfach aufruft.
Dieses zweite Skript führt dann die eigentliche Aufgabe aus und sucht auf den unterschiedlichen Servern. Da alle diese Instanzen des zweiten Skripts gleichzeitig aktiv sind, kann die Anwendung auch im weitesten Sinne als „Multi-Threaded“ bezeichnet werden.
Die Suche an sich stellt ohne Zweifel den wichtigsten und empfindlichsten Teil der gesamten Lösung dar. Deshalb ist es wichtig, dass der Administrator einige vorbereitende Schritte durchführt, bevor er darangeht, die Datei mit dem Main-Skript der Anwendung zu starten. Folgende einleitenden Schritte sollte er zunächst durchführen:
• reguläre Ausdrücke für die Dateinamen der schädlichen Dateien definieren,
• eine Liste der Systeme anlegen, die untersucht werden sollen und
• eine Datei mit einer Liste der 32 Zeichen großen Hash-Strings für die entsprechenden schädlichen Dateien anlegen.
Damit diese Vorgänge besser von der Hand gehen und einfacher abzuarbeiten sind, hat der Autor dem Dateipaket mit der Lösung (sie steht auf der letzten Seite dieses Beitrags zum Download bereit), auch eine so genannte HTML-Anwendung (HTML Application; HTA ) beigefügt. Sie fasst alle Vorbereitungsschritte zusammen und gibt dem Anwender Hilfen an die Hand.
Der Screenshot in Bild 1 zeigt, wie sich diese HTML-Anwendung auf dem Bildschirm darstellt. Sie bietet dem Anwender auch ein Fenster mit einem Hilfetext an, in dem das weitere Vorgehen beschrieben wird. Zusätzlich stellt jedes der Eingabefelder noch eine kontextsensitive Hilfe bereit, die beschreibt, welche Art der Eingabe an dieser Stelle erwartet wird.
Wie die Eingaben in das Programm kommen…
In den meisten Fällen werden die IT-Mitarbeiter sowohl die betreffenden Dateinamen als auch die Informationen zu den MD-5-Hashes von der eigenen Sicherheitsabteilung oder von ihrem entsprechenden Vorgesetzten bekommen.
Stehen die Hash-Zeichenketten von schädlichen Dateien zur Verfügung, so können die IT-Fachleute auch präzise feststellen, ob eine verdächtige Datei nur den gleichen Namen wie eine bekannte schädliche Datei trägt oder ob es sich dabei um diese „bösartige Datei“ handelt. Damit wird der Arbeitsaufwand, der nach dem Scan-Lauf und dem Auffinden der verdächtigen Dateien auf die IT-Mitarbeiter zukommt, sehr stark reduziert.
Unser Autor hat sein Anwendungspaket trotzdem so offen angelegt, dass es auch möglich ist, nach Dateien zu suchen, selbst wenn dazu kein Hash zur Verfügung steht. Diese Auswahl wird einfach durch eine Checkbox bei der Vorbereitung getroffen (Bild 1). Allerdings ist das nicht der Normalfall:
Administratoren sollten in den meisten Fällen zusammen mit der Aufforderung nach bestimmten schädlichen Dateien in ihrer IT-Umgebung zu suchen auch eine entsprechende Hash-Zeichenkette ausgehändigt bekommen. Nur so ist eine eindeutige Identifizierung der Eindringlinge möglich.
Das erste Eingabefeld des HTA-Programms zur Vorbereitung (Bild 1) ist so angelegt, dass der Anwender hier die 32 Zeichen lange Hash-Zeichenketten und die damit verbundenen Dateinamen eingeben kann. Um an dieser Stelle Fehlerquellen zu vermeiden, sollten die Zeichenketten nach Möglichkeit immer per „Copy and Paste“ aus den Dokumenten übernommen werden, die der Administrator zu dem entsprechenden Fall ausgehändigt bekommen hat. Nach diesem String müssen zwei Leerzeichen eingegeben werden, denen dann der dazugehörige Dateiname folgt. Soll mehr als eine Zeichenkette eingegeben werden, so ist es wichtig jede Zeile mit einem „harten Return“ abzuschließen, bevor die nächsten Daten eingegeben werden. Dies kann solange fortgesetzt werden, bis alle zu suchenden Dateien eingegeben sind.
Durch den Einsatz der freien Version des Programms „Agent Ransack“ (Bild 2) besteht hier allerdings eine Begrenzung auf neun Dateien, die gleichzeitig gesucht werden können. Der Autor hat in seiner langjährigen Erfahrung nie die Notwendigkeit gesehen, nach mehr als einigen wenigen solcher Dateien suchen zu müssen. Wer jedoch trotzdem mehr als neun Dateien suchen muss, kann das Programm auf einem weiteren Rechner mit den zusätzlichen Dateinamen und Strings starten.
Steht kein Hash-String für die zu suchende Datei zur Verfügung, so ist es unbedingt notwendig, die bereits erwähnte Checkbox in der Startanwendung auszuwählen. Es ist sehr wichtig, sich dabei die Hintergründe dieser Einstellung bewusst zu machen: Wenn Hashes und damit eine Hash-Datei zum Einsatz kommt, dann werden ausschließlich und nur die gefundenen Dateien mit dem entsprechenden Dateinamen angezeigt, bei denen auch deren Hash-String mit der vorgegebenen Zeichenkette übereinstimmt.
Wie die Dateien gefunden werden: Reguläre Ausdrücke eingeben
In das zweite Eingabefeld der HTA-Anwendung kann der Anwender eine Liste der Dateien hinterlegen, nach denen das Programm suchen soll. Das dahinterliegende Programm Agent Randsack ist äußerst flexibel, wenn es darum geht, Suchmuster für Dateien mit Hilfe von regulären Ausdrucken festzulegen. Wer bereits mit solchen regulären Ausdrücken gearbeitet hat, wird diese Art der Eingaben als einfach und sinnvoll empfinden und sich schnell die richtigen Suchmuster zusammenstellen können.
Für alle Anwender, die sich mit dem Einsatz der regulären Ausdrücke nicht auskennen, wird in der Eingabemaske ein Beispiel angezeigt (Bild 1). Die dort angezeigte Zeichenkette beginnt mit einem Zirkumflex-Zeichen („^“) gefolgt von einer öffnenden Klammer, dem Dateinamen, einem Backslash („\“), dem ein Punkt und die Dateierweiterung der gesuchten Datei folgen. Dann wird die Klammer geschlossen. Abgeschlossen wird diese Eingabe dann mit dem Dollarzeichen „$“.
Auch wenn diese Zeile auf manche Anwender zunächst den Eindruck von Hieroglyphen hinterlassen muss, ist ihr Inhalt recht leicht zu verstehen: Das Zirkumflex-Zeichen „^“ steht für den Suchbegriff „Fängt an mit…“. Innerhalb der Klammern findet das Programm die eigentliche Zeichenkette, nach der es suchen soll, wobei das Backslash „\“ in der Klammer als Maskierung für den nachfolgenden Punkt dient.
Da der Punkt bei den regulären Ausdrücken sehr vielfältigen Funktionen besitzt, muss dem Programm hier explizit mitgeteilt werden, den Punkt in diesem Fall nur als Trennzeichen zwischen Dateinamen und Dateierweiterung zu betrachten und ihn nicht zu interpretieren. Dies geschieht durch den vorangestellten Backslash. Das Dollar-Zeichen der Zeichenkette bedeutet schließlich „Endet mit…“.
Wer dies zunächst einmal für sehr verwirrend und kompliziert hält sollte bedenken, dass der Normalfall für den Einsatz des Programms zumeist darin bestehen wird, einfache Dateinamen zu suchen. Dafür sind weitgehende Kenntnisse der regulären Ausdrücke nicht nötig: Es genügt, dem Beispiel in der Anwendung zu folgen und das Suchmuster entsprechend dieser Vorlage einzugeben. Besteht dann doch die Notwendigkeit, mit komplexeren Suchmustern arbeiten zu müssen, so ist es ein guter Ansatz, das Programm Agent Ransack direkt zu starten und den dort vorhandenen „Expression Builder“ (Bild 2) einzusetzen, der mittels eines Assistenten durch den Aufbau des Suchmusters führt.
Im nächsten Schritt gilt es, eine Liste mit den zu durchsuchenden Servern anzulegen. Ein Klick auf „Yes“ teilt dem Programm an dieser Stelle mit, dass diese Liste vorliegt. Der letzte Schritt verlangt dann vom Anwender, dass er „Perform Readiness Check“ anklickt. Stellt das Programm dabei fest, das eine oder mehrere Bedingungen für seinen korrekten nicht erfüllt sind, wird eine entsprechende Meldung angezeigt. Sind alle Bedingungen erfüllt, so meldet das Programm dies ebenfalls und der Administrator kann das Hauptprogramm (das Skript MultiThreadSearch.vbs) starten.
n diesem Zusammenhang taucht natürlich die Frage auf, warum nicht auch dieses Skript direkt von der HTA-Anwendung aus gestartet wird. Der erste Grund dafür ist in eine Eigenart solcher HTA-Anwendungen: Sie haben Probleme bei der Ausführung lang dauernder Prozesse – der Bildschirm ist dann häufig so lange blockiert, bis alle Prozesse abgearbeitet sind.
Der zweite Grund für diese Entscheidung liegt darin, dass der Autor dem Anwender so die Gelegenheit gibt, vor dem Start des Skripts noch einmal stichprobenartig die verschiedenen wichtigen Dateien auf ihren korrekten Inhalt zu überprüfen. Das HTA-Vorbereitungsprogramm legt dabei automatisch die Dateien HashList.txt, in der die Hash-Zeichenketten abgespeichert werden, und SearchList.txt an, in der sich die von Agent Ransack verwendeten regulären Ausdrücke befinden.
Die Einstellung für das Multithreading ist standardmäßig auf den Wert 20 voreingestellt. Das heißt, das Programm durchsucht bis zu 20 Server gleichzeitig. Wer diesen Wert nach seinen eigenen Vorstellungen ändern will, kann dies sehr leicht tun, indem er die Variable „TotalThreads“ in der Datei „MultiThreadSearch.vbs“ ändert, die sich gleich am Anfang des Skripts findet:
CONST ForReading = 1
CONST ForWriting = 2
On Error Resume Next
TotalThreads = 20
Der Wert für diese Variable sollte dabei zwischen 15 und 30 liegen. Die Anwendung wurde so angelegt, dass sie alle benötigten Dateien in dem Ordner anlegt, in dem sich auch die Programmdateien befinden. Deshalb sollte ein Administrator zunächst einen entsprechenden Ordner für die Anwendung anlegen, in den er dann alle Dateien aus der heruntergeladenen ZIP-Datei hineinkopiert. Er muss zudem die beiden Anwendungen Agent Ransack und MD5deep.exe herunterladen und ebenfalls in diesen Ordner kopieren, bevor er MultiThreadSearch.vbs zum ersten Mal aufrufen kann.
Was beim Suchen passiert
Die erste Phase des Suchprozesses nutzt das Programm Agent Ransack, um mit seiner Hilfe Log-Dateien anzulegen. Darin sind die Dateien aufgelistet, die auf jedem Laufwerk jedes Servers, der in der Datei ServerList.txt eingetragen ist, gefunden wurden. Diese Protokolldateien werden dann in das Verzeichnis „Ransack Logs“ kopiert. Die Größe der Log-Datei ist größer Null, wenn eine oder mehrere Dateien auf den Servern gefunden wurden, die dem Suchmuster (reguläre Ausdrücke) in der SearchList.txt-Datei entsprechen. Werden keine solchen Dateien gefunden, besitzt diese Protokolldatei die Größe Null.
In der zweiten Phase des Suchprozesses arbeitet das Programm alle vom Ransack-Programm angelegten Dateien durch, deren Dateigröße ungleich Null ist. Das Programm liest die Dateinamen in der Textdatei aus und startet dann das Programm MD5deep, um für die jeweils gefundene Datei einen Hash-Wert zu bilden. Dieser wird dann mit den Hash-Zeichenketten in der Datei HashList.txt verglichen.
Findet das Skript dabei einen übereinstimmenden Hash-String, schreibt es die Dateigröße, die Hash-Zeichenkette und den Dateinamen in eine weitere Log-Datei, der „Hash Results“-Log-Datei im Verzeichnis mit dem Namen „HashLogs“.
Nachdem das Programm alle Log-Dateien von Agent Ransack gelesen und alle Log-Dateien mit den Hash-Resultaten geschrieben hat, liest der Prozess in einem letzten Schritt die Dateien mit den Hash-Results. Er stellt dann die dort gefundenen Daten zusammen und legt die Datei „Results.txt“ an. Mit Hilfe dieser Datei ist der Systemverwalter dann in der Lage zu beurteilen, ob auf seinen Systemen schädliche und gefährliche Dateien gefunden wurden. Wurde Dateien gefunden, die den vorgegebenen Suchbedingungen entsprechen, so hat das Programm sie in der Datei „Results.txt“ mit dem Server und dem kompletten Pfad der Dateien aufgelistet.
Wenn der Prozess beendet wird, legt das Skript automatisch Sicherheitskopien allen wichtigen Dateien an, die mit der Endung „.sav“ abgespeichert werden. Dazu gehören die folgenden Dateien:
• ServerList.txt,
• SearchList.txt,
• HashList.txt,
• MD5batch.cmd,
• ErrorFile.txt und
• Results.txt.
Wird der Hauptprozess für einen weiteren neuen Scan-Prozess aufgerufen, werden die Dateien mit der Endung „.sav“ in einen Archivordner verschoben. Die wichtigsten Log-Dateien aus den Verzeichnissen „HashLog“ und „RansackLog“ vom vorherigem Lauf werden ebenfalls dorthin vorschoben. Auf diese Weise entsteht ein Archiv aller durchgeführten Überprüfungen. Die Archivordner werden dabei zusätzlich mit dem Datum versehen, an dem die Untersuchung stattgefunden hat.
Eine Überlegung, die der Systemverwalter vor dem Einsatz des Programms machen muss, betrifft die Liste der Server-Systeme, die vom Programm untersucht werden sollen. Er kann einfach seine eigene Datei „ServerList.txt“ anlegen oder dazu ein weiteres Skript einsetzen, das ebenfalls im Programmpaket unseres Autors enthalten ist. Es trägt den Namen „CreateServerList.vbs“ und erzeugt diese Datei automatisch. Wer dieses Skript einsetzt, sollte die folgenden Punkte wissen und beachten:
• Das Skript schließt Cluster-Server aber keine Cluster-Ressourcen ein.
• Es schließt Domänen-Controller (DC) ebenfalls ein.
• Es sammelt jede Computer aus dem AD ein, bei dem in „operationSystem“ der Wert „Server“ zu finden.
• Wie der nachfolgende Listing-Ausschnitt zeigt, wird die OU (Organizational Unit) direkt „hart“ im Skript festgelegt – hier muss der Administrator die eigenen OU eintragen.
Nachfolgend der Ausschnitt aus dem Skript „CreateServerList.vbs“, in das der Administrator die eigene Organisationseinheit eintragen muss:
On Error Resume Next
Const ForWriting = 2
Const ADS_SCOPE_SUBTREE = 2
Const dictKey = 1
Const dictItem = 2
path = WScript.ScriptFullName : path = Left(path,InstrRev(path,"\"))
strMessage = "ServerList.txt will appear in folder when process is done."
strScriptName = "Creating Server List"
CreateObject("WScript.Shell").Popup strMessage,7,strScriptName,vbInformation
‚!!! Modify the line below to point the your OU
QStr = "SELECT cn FROM ‚LDAP://OU=xxx,OU=xxx,DC=xxx,DC=xxx‘ Where objectcategory=’computer‘ AND objectclass=’computer’"
Das Skript legt automatisch eine Datei mit dem Namen „NoPingResponseServer.txt“ an, in der die Namen der Server abgespeichert werden, die auf eine Anfrage via „ping“ nicht reagieren. Diese werden dann automatisch nicht mit in der Datei „ServerList.txt“ abgelegt. Weiterhin legt der Hauptprozess (MultiThreadSearch.vbs) eine Datei „ErrorFile.txt“ an. Dort werden all die Server aufgelistet, auf die über das Skript nicht zugegriffen werden konnte.
Wer die Lösung einsetzen will, ohne dabei die Vorbereitungen durch die mitgelieferte HTA-Anwendung durchführen zu lassen, muss sich mit der Datei „MD5batch.cmd“ befassen und diese vor dem Start des eigentlichen Programms entsprechend editieren. Diese Datei beinhaltet die direkten Aufrufe, die das Kommandozeilenprogramm „MD5deep“ steuern.
Grundsätzlich wurde diese Batch-Datei so angelegt, dass sie für jede der ihr übergebenen Dateien eine Output-Datei anlegen kann, die dann die zugehörige Hash-Zeichenkette beinhaltet. Allerdings ist sie für „alle Fälle“ vorbereitet, so dass sie sowohl eine Zeile enthält, die eine Datei mit einem Hash vergleicht, der in der Datei „HashList.txt“ vorhanden ist, als auch eine Zeile, die genau diese Operation nicht ausführt.
Das folgende Listing zeigt diese Batch-Datei:
REM MD5batch.cmd – receives parameters filename and
REM a number from calling program Hash-It.vbs
REM Note – You may need to copy MD5Deep.exe into a folder
REM that exists within your Path
REM To Use hashlist uncomment the next line and comment out the last line md5deep.exe -z -wM .\hashlist.txt %1 >>.\Hashlogs\hashresults%2.log
REM To NOT use hashlist uncomment next line and comment out line above
REM md5deep.exe -z %1 >>.\Hashlogs\hashresults%2.log
Kommt nun die HTA-Anwendung nicht zur Vorbereitung der Suchaktion zum Einsatz, obliegt es dem Administrator, die jeweils benötigte Operation (Vergleich mit der Hash-Liste oder kein Vergleich) in der Batch-Datei durch das Löschen des Schlüsselwortes „REM“ zu aktivieren. Natürlich kann immer nur eine dieser Zeilen zur Laufzeit des Programms aktiv sein.
Weiterhin muss der Anwender bei dieser „manuellen“ Art der Anwendung auch darauf achten, dass er in der Datei „HashList.txt“ die aktuellen neuen Hash-Zeichenketten einfügt, die immer mit dem 32 Zeichen langen Hash-Code beginnen müssen. Danach müssen in der gleichen Zeile zwei Leerzeichen und der Name der entsprechenden Datei folgen – nur so kann das Programm korrekt arbeiten.
Schließlich bedeutet der Verzicht auf den Einsatz des Vorbereitungsprogramms, dass die Datei „SearchList.txt“ ebenfalls manuell editiert werden muss. In dieser Datei befinden sich die Namen der Dateien, die gesucht werden sollen. Diese müssen in Form von regulären Ausdrücken eingegeben werden. Zudem existiert aufgrund der eingesetzten Freeware ein Limit von neun Dateien, das hier nicht überschritten werden darf.
In Abhängigkeit von der Maschine, auf der ein Administrator diese Lösung startet, kann der Einsatz des Programms sehr Ressourcen- und Prozess-intensiv sein. In vielen Fällen kann es deshalb sinnvoll sein, sie von einem speziellen System aus zu starken, das entsprechend leistungskräftig ist. Außerdem sollte jeder Systemverwalter berücksichtigen, dass die Anwendung in Abhängigkeit von der Zahl der im eigenen Netz vorhandenen Server und der Größe der gefundenen Dateien sehr viel Zeit benötigen kann, um ihre Aufgabe komplett abzuarbeiten.