Araşdırmada Windows Təhlükəsizlik Hadisəsi ID 4688-i necə şərh etmək olar
giriş
Uyğun olaraq microsoft, hadisə identifikatorları (həmçinin hadisə identifikatorları adlanır) xüsusi hadisəni unikal şəkildə müəyyənləşdirir. Bu, Windows əməliyyat sistemi tərəfindən daxil edilmiş hər bir hadisəyə əlavə edilmiş ədədi identifikatordur. İdentifikator təmin edir məlumat baş vermiş hadisə haqqında və sistem əməliyyatları ilə bağlı problemləri müəyyən etmək və aradan qaldırmaq üçün istifadə edilə bilər. Bu kontekstdə hadisə sistem və ya sistemdə istifadəçi tərəfindən həyata keçirilən hər hansı hərəkətə aiddir. Bu hadisələrə Hadisə Baxıcısından istifadə edərək Windows-da baxmaq olar
Hadisə ID 4688 hər dəfə yeni proses yaradılanda qeyd olunur. O, maşın tərəfindən icra edilən hər bir proqramı və onu yaradan, hədəf və onu başlatan proses daxil olmaqla, onun müəyyənedici məlumatlarını sənədləşdirir. Bir neçə hadisə hadisə ID-si 4688 altında qeyd olunur. Daxil olduqdan sonra Sessiya Meneceri Alt Sistemi (SMSS.exe) işə salınır və 4688-ci hadisə qeyd olunur. Sistem zərərli proqramla yoluxmuşsa, zərərli proqram işləmək üçün yeni proseslər yarada bilər. Bu cür proseslər ID 4688 altında sənədləşdiriləcək.
Interpreting Event ID 4688
Hadisə ID 4688-i şərh etmək üçün hadisə jurnalına daxil olan müxtəlif sahələri başa düşmək vacibdir. Bu sahələr istənilən pozuntuları aşkar etmək və prosesin mənşəyini onun mənbəyinə qədər izləmək üçün istifadə edilə bilər.
- Yaradıcı Mövzu: bu sahə yeni prosesin yaradılmasını tələb edən istifadəçi hesabı haqqında məlumat verir. Bu sahə kontekst təqdim edir və məhkəmə müstəntiqlərinə anomaliyaları müəyyən etməyə kömək edə bilər. Buraya bir neçə alt sahə daxildir, o cümlədən:
-
- Təhlükəsizlik İdentifikatoru (SID)” uyğun olaraq microsoft, SID etibarlı şəxsi müəyyən etmək üçün istifadə edilən unikal dəyərdir. Windows maşınında istifadəçiləri müəyyən etmək üçün istifadə olunur.
- Hesabın Adı: SID yeni prosesin yaradılmasına təşəbbüs göstərən hesabın adını göstərmək üçün həll edilir.
- Hesab Domeni: kompüterin aid olduğu domen.
- Giriş ID: istifadəçinin giriş sessiyasını müəyyən etmək üçün istifadə olunan unikal onaltılıq dəyər. O, eyni hadisə ID-sini ehtiva edən hadisələri əlaqələndirmək üçün istifadə edilə bilər.
- Hədəf Mövzu: bu sahə prosesin işlədiyi istifadəçi hesabı haqqında məlumat verir. Prosesin yaradılması hadisəsində qeyd olunan subyekt bəzi hallarda prosesin dayandırılması hadisəsində qeyd olunan subyektdən fərqli ola bilər. Beləliklə, yaradıcı və hədəf eyni girişə malik olmadıqda, hər ikisi eyni proses identifikatoruna istinad etsələr də, hədəf mövzunu daxil etmək vacibdir. Alt sahələr yuxarıdakı yaradıcı mövzu ilə eynidir.
- Proses haqqında məlumat: bu sahədə yaradılmış proses haqqında ətraflı məlumat verilir. Buraya bir neçə alt sahə daxildir, o cümlədən:
-
- Yeni Proses İD (PID): yeni prosesə təyin edilmiş unikal onaltılıq dəyər. Windows əməliyyat sistemi ondan aktiv prosesləri izləmək üçün istifadə edir.
- Yeni Proses Adı: yeni prosesi yaratmaq üçün işə salınmış icra olunan faylın tam yolu və adı.
- Token Qiymətləndirmə Növü: Token qiymətləndirilməsi istifadəçi hesabının müəyyən bir hərəkəti yerinə yetirmək səlahiyyətinin olub olmadığını müəyyən etmək üçün Windows tərəfindən istifadə edilən təhlükəsizlik mexanizmidir. Prosesin yüksək imtiyazlar tələb etmək üçün istifadə edəcəyi token növü “token qiymətləndirmə növü” adlanır. Bu sahə üçün üç mümkün dəyər var. Növ 1 (%%1936) prosesin standart istifadəçi işarəsindən istifadə etdiyini və heç bir xüsusi icazə tələb etmədiyini bildirir. Bu sahə üçün ən ümumi dəyərdir. Növ 2 (%%1937) prosesin tam idarəçi imtiyazları tələb etdiyini və onları əldə etməkdə müvəffəqiyyətli olduğunu bildirir. İstifadəçi proqram və ya prosesi administrator kimi işlətdikdə o, aktivləşdirilir. Tip 3 (%%1938) prosesin yüksək imtiyazlar tələb etsə də, yalnız tələb olunan hərəkəti yerinə yetirmək üçün tələb olunan hüquqları aldığını bildirir.
-
- Məcburi Etiket: prosesə təyin edilmiş bütövlük etiketi.
- Yaradıcı Proses ID-si: yeni prosesi başlatan prosesə təyin edilmiş unikal onaltılıq dəyər.
- Yaradıcı Proses Adı: yeni prosesi yaradan prosesin tam yolu və adı.
- Proses Command Line: yeni prosesi başlamaq üçün komandaya ötürülən arqumentlər haqqında təfərrüatları təmin edir. Buraya cari kataloq və hashlar daxil olmaqla bir neçə alt sahə daxildir.
Nəticə
Prosesi təhlil edərkən onun qanuni və ya zərərli olduğunu müəyyən etmək çox vacibdir. Qanuni proses yaradıcı mövzuya və proses məlumat sahələrinə baxaraq asanlıqla müəyyən edilə bilər. Proses ID-si qeyri-adi ana prosesdən yaranan yeni proses kimi anomaliyaları müəyyən etmək üçün istifadə edilə bilər. Komanda xətti prosesin qanuniliyini yoxlamaq üçün də istifadə edilə bilər. Məsələn, həssas məlumatların fayl yolunu ehtiva edən arqumentləri olan bir proses zərərli niyyəti göstərə bilər. Yaradıcı Mövzu sahəsi istifadəçi hesabının şübhəli fəaliyyətlə əlaqəli olub olmadığını və ya yüksək imtiyazlara malik olduğunu müəyyən etmək üçün istifadə edilə bilər.
Bundan əlavə, yeni yaradılmış proses haqqında kontekst əldə etmək üçün ID 4688 hadisəsini sistemdəki digər müvafiq hadisələrlə əlaqələndirmək vacibdir. Yeni prosesin hər hansı şəbəkə bağlantısı ilə əlaqəli olub olmadığını müəyyən etmək üçün hadisə ID 4688 5156 ilə əlaqələndirilə bilər. Əgər yeni proses yeni quraşdırılmış xidmətlə əlaqələndirilirsə, əlavə məlumat vermək üçün 4697 hadisəsi (xidmət quraşdırması) 4688 ilə əlaqələndirilə bilər. Hadisə ID 5140 (fayl yaradılması) yeni proses tərəfindən yaradılan hər hansı yeni faylları müəyyən etmək üçün də istifadə edilə bilər.
Yekun olaraq, sistemin kontekstini başa düşmək potensialı müəyyən etməkdir təsir prosesin. Kritik serverdə başlanan prosesin müstəqil bir maşında işə salınan prosesdən daha çox təsiri ola bilər. Kontekst təhqiqatı istiqamətləndirməyə, cavabı prioritetləşdirməyə və resursları idarə etməyə kömək edir. Hadisələr jurnalında müxtəlif sahələri təhlil edərək və digər hadisələrlə korrelyasiyanı həyata keçirməklə, anomal prosesləri onların mənşəyinə və səbəbinə görə izləmək olar.
