Kumaha Napsirkeun Windows Security Event ID 4688 dina Panaliti
perkenalan
Numutkeun kana Microsoft, ID acara (disebut oge identifiers acara) uniquely ngaidentipikasi hiji acara nu tangtu. Ieu mangrupakeun identifier numerik napel unggal acara asup ku sistem operasi Windows. Identifier nyadiakeun inpormasi ngeunaan kajadian anu kajantenan sareng tiasa dianggo pikeun ngaidentipikasi sareng ngungkulan masalah anu aya hubunganana sareng operasi sistem. Kajadian, dina kontéks ieu, ngarujuk kana tindakan anu dilakukeun ku sistem atanapi pangguna dina sistem. Kajadian ieu tiasa ditingali dina Windows nganggo Viewer Acara
ID acara 4688 dilebetkeun iraha waé prosés énggal didamel. Éta ngadokumentasikeun unggal program anu dieksekusi ku mesin sareng data idéntifikasina, kalebet panyipta, target, sareng prosés anu ngamimitianana. Sababaraha acara diasupkeun dina ID acara 4688. Kana login, Session Manager Subsystem (SMSS.exe) diluncurkeun, sareng acara 4688 dilebetkeun. Upami sistem katépaan ku malware, malware éta kamungkinan nyiptakeun prosés énggal pikeun ngajalankeun. Prosés sapertos kitu bakal didokumentasikeun dina ID 4688.
Interprétasi Acara ID 4688
Dina raraga napsirkeun ID acara 4688, hal anu penting pikeun ngarti widang béda kaasup dina log acara. Widang ieu tiasa dianggo pikeun ngadeteksi panyimpangan sareng ngalacak asal-usul prosés deui ka sumberna.
- Pencipta Subject: widang ieu nyadiakeun informasi ngeunaan akun pamaké nu dipénta kreasi prosés anyar. Widang ieu nyayogikeun kontéks sareng tiasa ngabantosan penyidik forensik ngaidentipikasi anomali. Éta kalebet sababaraha subwidang, kalebet:
- Identifier Kaamanan (SID)” Nurutkeun kana Microsoft, SID mangrupikeun nilai unik anu dianggo pikeun ngaidentipikasi wali. Hal ieu dianggo pikeun ngaidentipikasi pangguna dina mesin Windows.
- Ngaran Akun: SID direngsekeun pikeun nunjukkeun nami akun anu ngamimitian nyiptakeun prosés énggal.
- Domain Akun: domain milik komputer.
- ID Logon: nilai héksadesimal unik anu dipaké pikeun ngaidentipikasi sési logon pamaké. Éta tiasa dianggo pikeun ngahubungkeun acara anu ngandung ID acara anu sami.
- Sasaran Subject: widang ieu nyadiakeun informasi ngeunaan akun pamaké prosés nu keur jalan. Subyek anu disebatkeun dina acara nyiptakeun prosés tiasa, dina sababaraha kaayaan, béda sareng subjek anu disebatkeun dina acara terminasi prosés. Janten, nalika panyipta sareng udagan henteu gaduh logon anu sami, penting pikeun ngalebetkeun subjek udagan sanaos duanana ngarujuk kana ID prosés anu sami. Subwidang sami sareng subwidang panyipta di luhur.
- Émbaran Prosés: widang ieu nyadiakeun inpo wincik tentang prosés dijieun. Éta kalebet sababaraha subwidang, kalebet:
- ID Prosés Anyar (PID): a nilai héksadesimal unik ditugaskeun ka prosés anyar. Sistem operasi Windows ngagunakeun éta pikeun ngalacak prosés aktip.
- Ngaran Prosés Anyar: jalur lengkep sareng nami file anu tiasa dieksekusi anu diluncurkeun pikeun nyiptakeun prosés énggal.
- Jenis Evaluasi Token: evaluasi token mangrupikeun mékanisme kaamanan anu dianggo ku Windows pikeun nangtukeun naha akun pangguna otorisasi pikeun ngalakukeun tindakan khusus. Jinis token anu bakal dianggo ku prosés pikeun nyuhunkeun hak istimewa anu luhur disebut "tipe evaluasi token." Aya tilu nilai mungkin pikeun widang ieu. Tipe 1 (%% 1936) nunjukkeun yén prosésna nganggo token pangguna standar sareng henteu menta idin khusus. Pikeun widang ieu, éta nilai paling umum. Tipe 2 (%% 1937) nunjukkeun yén prosésna menta hak husus administrator pinuh pikeun dijalankeun tur suksés pikeun meunangkeunana. Nalika pangguna ngajalankeun aplikasi atanapi prosés salaku administrator, éta diaktipkeun. Tipe 3 (%%1938) nunjukkeun yén prosésna ngan ukur nampi hak anu dipikabutuh pikeun ngalaksanakeun tindakan anu dipénta, sanaos éta menta hak-hak anu diluhurkeun.
- Label Wajib: labél integritas anu ditugaskeun pikeun prosésna.
- ID Prosés Creator: nilai héksadesimal unik anu ditugaskeun pikeun prosés anu ngamimitian prosés énggal.
- Ngaran Prosés Creator: jalur lengkep sareng nami prosés anu nyiptakeun prosés énggal.
- Jalur Komando Proses: nyayogikeun detil ngeunaan argumen anu dilebetkeun kana paréntah pikeun ngamimitian prosés énggal. Éta kalebet sababaraha subwidang kalebet diréktori ayeuna sareng hashes.
kacindekan
Nalika nganalisis prosés, penting pisan pikeun nangtukeun naha éta sah atanapi jahat. Prosés anu sah gampang diidentipikasi ku ningali subjek panyipta sareng widang inpormasi prosés. ID Prosés tiasa dianggo pikeun ngaidentipikasi anomali, sapertos prosés énggal anu diturunkeun tina prosés indung anu teu biasa. Baris paréntah ogé bisa dipaké pikeun pariksa legitimasi hiji prosés. Contona, prosés kalayan argumen anu ngawengku jalur file ka data sénsitip bisa nunjukkeun niat jahat. Widang Subjek Creator tiasa dianggo pikeun nangtukeun naha akun pangguna pakait sareng kagiatan anu curiga atanapi ngagaduhan hak istimewa.
Saterusna, hal anu penting pikeun correlate acara ID 4688 kalawan acara relevan séjén dina sistem mangtaun konteks ngeunaan prosés anyar dijieun. ID Acara 4688 tiasa dihubungkeun sareng 5156 pikeun nangtukeun upami prosés énggal aya hubunganana sareng sambungan jaringan. Lamun prosés anyar pakait sareng layanan anyar dipasang, acara 4697 (layanan install) bisa correlated kalawan 4688 nyadiakeun émbaran tambahan. ID Acara 5140 (nyieun file) ogé tiasa dianggo pikeun ngaidentipikasi file énggal anu diciptakeun ku prosés énggal.
Dina kacindekan, pamahaman konteks sistem nyaéta pikeun nangtukeun poténsial pangaruh tina prosés. A prosés ngagagas dina server kritis kamungkinan boga dampak gede ti hiji dibuka dina mesin mandiri. Konteks mantuan ngarahkeun panalungtikan, prioritas réspon jeung ngatur sumberdaya. Ku nganalisa widang anu béda dina log acara sareng ngalakukeun korelasi sareng acara anu sanés, prosés anomali tiasa dilacak ka asal-usulna sareng panyababna ditangtukeun.
