Disk-Forensik/ Sonstige/ Cronjob und Scheduler

Die in diesem Teil des Wikibooks näher erläuterten Dienste sind dafür zuständig, dass bestimmte Skripte oder Programme in Intervallen ausgeführt werden. In UNIX Systemen wird der Dienst cron und in Windows Scheduler genannt. Ursprünglich sind diese Dienste dazu gedacht Wartungsaufgaben am System durchzuführen, jedoch kann ein Angreifer diese Dienste auch unter seine Kontrolle bringen und seine Programme in bestimmten Zeitintervallen ausführen lassen. Dadurch ist es möglich zusätzliche Informationen über den Angreifer, seine Vorgehensweise und der verwendeten Tools zu gewinnen.

cron Bearbeiten

Der Aufbewahrungsort der Steuerdateien für cron ist abhängig von der Distribution. Bei den meisten Linux-Distributionen findet man diese unter /etc/crontab/. Hier werden die Tabellen für die Steuerung der Intervalle für jeden Benutzer verwaltet. Zusätzlich gibt es auch noch Verzeichnisse, wie /etc/cron.daily/ oder /etc/cron.weekly/ welche Skripte enthalten, die entweder täglich oder wöchentlich ausgeführt werden. Die Dateien cron.allow und cron.deny sind für eine primitive Zugriffskontrolle vorgesehen. Diese basiert auf Benutzerebene, da jeder Benutzername, der in cron.deny eingetragen ist keinen Zugriff auf eine cron Tabelle hat. Analog dazu verhält sich dies mit den Benutzernamen, die in cron.allow eingetragen sind. Welche Datei verwendet wird, hängt von der Policy am System ab. Bei OpenBSD ist der Aufbewahrungsort der Dateien für cron in /var/cron/ angesiedelt. Die Struktur ist ähnlich, wie bei Linux-Systemen.

Die Auffindbarkeit der Dateien, welche zur Steuerung von cron dienen, sollte gegeben sein. In Ausnahmefällen ist eine Durchsuchung der Festplatte nach Dateinamen, die cron enthalten notwendig.

Scheduler Bearbeiten

Der Aufbewahrungsort der Verwaltungsdateien für geplante Tasks (Jobs) in Windows liegt im Regelfall unter C:\WINDOWS\Tasks\. Die Jobs haben die Dateiendung *.job. Ähnlich, wie bei cron unter Linux ist es auch unter Windows möglich diese Jobs einmalig, täglich, wöchentlich oder auch in anderen Intervallen wiederkehrend ausführen zu lassen.

Bei Windows Systemen gibt es zusätzlich noch Registry-Keys, welche für den Start von Programmen beim Start des Systems oder bei der Benutzeranmeldung benötigt werden. Hierfür werden Registry Keys in HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run angelegt. Abhängig davon, welche Dienste gestartet werden sollen ist es möglich ein anderes Root-Verzeichnis zu verwenden (HKEY_CURRENT_USER, HKEY_CLASSES_ROOT oder HKEY_USERS/BenutzerID).