Ki jan yo Entèprete Windows Sekirite Evènman ID 4688 nan yon Ankèt
entwodiksyon
Dapre microsoft, ID evènman (yo rele tou idantifyan evènman) inikman idantifye yon evènman an patikilye. Li se yon idantifyan nimerik tache ak chak evènman ki anrejistre pa sistèm operasyon Windows la. Idantifyan an bay enfòmasyon sou evènman an ki te fèt epi yo ka itilize yo idantifye ak rezoud pwoblèm ki gen rapò ak operasyon sistèm. Yon evènman, nan kontèks sa a, refere a nenpòt aksyon ki fèt pa sistèm nan oswa yon itilizatè sou yon sistèm. Ou ka wè evènman sa yo sou Windows lè l sèvi avèk Evènman Viewer la
ID evènman 4688 la konekte chak fwa yo kreye yon nouvo pwosesis. Li dokimante chak pwogram egzekite pa machin nan ak done idantifikasyon li yo, ki gen ladan kreyatè a, sib la, ak pwosesis ki te kòmanse li. Plizyè evènman yo konekte anba evènman ID 4688. Lè w konekte, Se Session Manager Subsystem (SMSS.exe) lanse, epi evènman 4688 anrejistre. Si yon sistèm enfekte pa malveyan, malveyan an gen anpil chans pou kreye nouvo pwosesis pou kouri. Pwosesis sa yo ta dwe dokimante anba ID 4688.
Entèprete Evènman ID 4688
Pou kapab entèprete evènman ID 4688, li enpòtan pou konprann diferan jaden ki enkli nan jounal evènman an. Jaden sa yo ka itilize pou detekte nenpòt iregilarite epi swiv orijin yon pwosesis tounen nan sous li.
- Sijè kreyatè: jaden sa a bay enfòmasyon sou kont itilizatè ki te mande pou kreye yon nouvo pwosesis. Jaden sa a bay kontèks epi li ka ede envestigatè legal yo idantifye anomali yo. Li gen ladan plizyè sous-champ, tankou:
- Sekirite Idantifikatè (SID)” Dapre microsoft, SID a se yon valè inik ki itilize pou idantifye yon sendik. Yo itilize li pou idantifye itilizatè yo sou machin Windows la.
- Non kont la: SID la rezoud pou montre non kont ki te kòmanse kreyasyon nouvo pwosesis la.
- Kont Domèn: domèn òdinatè a fè pati.
- Logon ID: yon valè inik egzadesimal ki itilize pou idantifye sesyon koneksyon itilizatè a. Li ka itilize pou korelasyon evènman ki genyen menm ID evènman an.
- Sijè Sib: jaden sa a bay enfòmasyon sou kont itilizatè pwosesis la ap kouri anba. Sijè ki mansyone nan evènman kreyasyon pwosesis la ka, nan kèk sikonstans, diferan de sijè ki mansyone nan evènman revokasyon pwosesis la. Se konsa, lè kreyatè a ak sib la pa gen menm koneksyon an, li enpòtan pou mete sijè a sib menm si yo tou de fè referans a menm ID pwosesis la. Souchamp yo se menm jan ak sijè kreyatè ki anwo a.
- Enfòmasyon sou Pwosesis: jaden sa a bay enfòmasyon detaye sou pwosesis kreye a. Li gen ladan plizyè sous-champ, tankou:
- New Process ID (PID): yon valè inik egzadesimal ki asiyen nan nouvo pwosesis la. Sistèm operasyon Windows la sèvi ak li pou kenbe tras nan pwosesis aktif.
- Nouvo Non Pwosesis: chemen konplè ak non dosye ègzèkutabl ki te lanse pou kreye nouvo pwosesis la.
- Kalite Evalyasyon siy: evalyasyon siy se yon mekanis sekirite Windows anplwaye pou detèmine si yon kont itilizatè otorize pou fè yon aksyon an patikilye. Kalite siy yon pwosesis pral itilize pou mande privilèj ki wo yo rele "tip evalyasyon siy." Gen twa valè posib pou jaden sa a. Kalite 1 (%%1936) vle di ke pwosesis la ap itilize siy itilizatè default la epi li pa mande okenn otorizasyon espesyal. Pou jaden sa a, li se valè ki pi komen. Kalite 2 (%%1937) vle di ke pwosesis la te mande tout privilèj administratè pou kouri epi li te reyisi jwenn yo. Lè yon itilizatè kouri yon aplikasyon oswa yon pwosesis kòm administratè, li pèmèt. Kalite 3 (%%1938) vle di ke pwosesis la te resevwa sèlman dwa ki nesesè pou fè aksyon yo mande a, menmsi li te mande privilèj elve.
- Obligatwa Etikèt: yon etikèt entegrite asiyen nan pwosesis la.
- ID Pwosesis Kreyatè: yon valè inik egzadesimal ki asiyen nan pwosesis ki inisye nouvo pwosesis la.
- Non Pwosesis Kreyatè: chemen konplè ak non pwosesis ki kreye nouvo pwosesis la.
- Liy Kòmand Pwosesis: bay detay sou agiman yo pase nan lòd la kòmanse nouvo pwosesis la. Li gen ladan plizyè subchamp ki gen ladan anyè aktyèl la ak hash.
konklizyon
Lè w ap analize yon pwosesis, li enpòtan pou detèmine si li lejitim oswa move. Yon pwosesis lejitim ka fasilman idantifye lè w gade sijè kreyatè a ak jaden enfòmasyon pwosesis. Pwosesis ID ka itilize pou idantifye anomali, tankou yon nouvo pwosesis ki te anjandre nan yon pwosè paran etranj. Liy kòmand lan kapab tou itilize pou verifye lejitimite yon pwosesis. Pou egzanp, yon pwosesis ak agiman ki gen ladann yon chemen dosye nan done sansib ka endike entansyon move. Yo ka itilize jaden Sijè Kreyatè a pou detèmine si kont itilizatè a asosye ak aktivite sispèk oswa si gen privilèj ki wo.
Anplis de sa, li enpòtan pou korelasyon evènman ID 4688 ak lòt evènman enpòtan nan sistèm nan jwenn kontèks sou pwosesis la fèk kreye. Evènman ID 4688 ka korelasyon ak 5156 pou detèmine si nouvo pwosesis la asosye ak nenpòt koneksyon rezo. Si nouvo pwosesis la asosye ak yon sèvis ki fèk enstale, evènman 4697 (enstalasyon sèvis) ka gen rapò ak 4688 pou bay plis enfòmasyon. Evènman ID 5140 (kreyasyon fichye) ka itilize tou pou idantifye nenpòt nouvo dosye ki kreye pa nouvo pwosesis la.
An konklizyon, konprann kontèks sistèm lan se detèmine potansyèl la enpak nan pwosesis la. Yon pwosesis inisye sou yon sèvè kritik gen anpil chans pou gen yon pi gwo enpak pase youn te lanse sou yon machin otonòm. Kontèks ede dirije ankèt la, priyorite repons ak jere resous yo. Lè nou analize diferan jaden yo nan jounal evènman an ak fè korelasyon ak lòt evènman yo, pwosesis anomali yo ka remonte orijin yo ak kòz la detèmine.
