Sut i Ddehongli Digwyddiad Diogelwch Windows ID 4688 mewn Ymchwiliad
Cyflwyniad
Yn ôl microsoft, IDau digwyddiad (a elwir hefyd yn ddynodwyr digwyddiad) yn nodi digwyddiad penodol yn unigryw. Mae'n ddynodwr rhifiadol sydd ynghlwm wrth bob digwyddiad a logir gan system weithredu Windows. Mae'r dynodwr yn darparu gwybodaeth am y digwyddiad a ddigwyddodd a gellir ei ddefnyddio i nodi a datrys problemau yn ymwneud â gweithrediadau system. Mae digwyddiad, yn y cyd-destun hwn, yn cyfeirio at unrhyw weithred a gyflawnir gan y system neu ddefnyddiwr ar system. Gellir gweld y digwyddiadau hyn ar Windows gan ddefnyddio'r Event Viewer
Mae'r digwyddiad ID 4688 yn cael ei gofnodi pryd bynnag y bydd proses newydd yn cael ei chreu. Mae'n dogfennu pob rhaglen a weithredir gan y peiriant a'i ddata adnabod, gan gynnwys y crëwr, y targed, a'r broses a'i cychwynnodd. Mae nifer o ddigwyddiadau wedi'u mewngofnodi o dan yr ID digwyddiad 4688. Ar ôl mewngofnodi, mae Session Manager Subsystem (SMSS.exe) yn cael ei lansio, ac mae digwyddiad 4688 wedi'i logio. Os yw system wedi'i heintio gan malware, mae'r malware yn debygol o greu prosesau newydd i'w rhedeg. Byddai prosesau o’r fath yn cael eu dogfennu o dan ID 4688.
ID Digwyddiad Dehongli 4688
Er mwyn dehongli ID digwyddiad 4688, mae'n bwysig deall y gwahanol feysydd sydd wedi'u cynnwys yn y log digwyddiad. Gellir defnyddio'r meysydd hyn i ganfod unrhyw afreoleidd-dra ac olrhain tarddiad proses yn ôl i'w ffynhonnell.
- Pwnc y Crëwr: mae'r maes hwn yn darparu gwybodaeth am y cyfrif defnyddiwr a ofynnodd am greu proses newydd. Mae'r maes hwn yn darparu cyd-destun a gall helpu ymchwilwyr fforensig i nodi anghysondebau. Mae'n cynnwys sawl is-faes, gan gynnwys:
-
- Dynodwr Diogelwch (SID)” Yn ôl microsoft, mae'r SID yn werth unigryw a ddefnyddir i adnabod ymddiriedolwr. Fe'i defnyddir i adnabod defnyddwyr ar y peiriant Windows.
- Enw'r Cyfrif: mae'r SID wedi'i benderfynu i ddangos enw'r cyfrif a gychwynnodd greu'r broses newydd.
- Parth y Cyfrif: y parth y mae'r cyfrifiadur yn perthyn iddo.
- ID Logon: gwerth hecsadegol unigryw a ddefnyddir i nodi sesiwn mewngofnodi'r defnyddiwr. Gellir ei ddefnyddio i gydberthyn digwyddiadau sy'n cynnwys yr un ID digwyddiad.
- Pwnc Targed: mae'r maes hwn yn darparu gwybodaeth am y cyfrif defnyddiwr y mae'r broses yn rhedeg oddi tano. Gall y pwnc a grybwyllir yn y digwyddiad creu proses, o dan rai amgylchiadau, fod yn wahanol i'r pwnc a grybwyllir yn y digwyddiad terfynu proses. Felly, pan nad oes gan y crëwr a'r targed yr un mewngofnodi, mae'n bwysig cynnwys y pwnc targed er bod y ddau ohonyn nhw'n cyfeirio at yr un ID proses. Mae'r is-feysydd yr un peth â phwnc y crëwr uchod.
- Gwybodaeth Proses: mae'r maes hwn yn darparu gwybodaeth fanwl am y broses a grëwyd. Mae'n cynnwys sawl is-faes, gan gynnwys:
-
- ID Proses Newydd (PID): gwerth hecsadegol unigryw a neilltuwyd i'r broses newydd. Mae system weithredu Windows yn ei ddefnyddio i gadw golwg ar brosesau gweithredol.
- Enw Proses Newydd: llwybr llawn ac enw'r ffeil gweithredadwy a lansiwyd i greu'r broses newydd.
- Math o Werthusiad Tocyn: mecanwaith diogelwch yw gwerthusiad tocyn a ddefnyddir gan Windows i benderfynu a yw cyfrif defnyddiwr wedi'i awdurdodi i gyflawni gweithred benodol. Gelwir y math o docyn y bydd proses yn ei ddefnyddio i ofyn am freintiau uchel yn “fath gwerthusiad tocyn.” Mae tri gwerth posibl ar gyfer y maes hwn. Mae Math 1 (%% 1936) yn dynodi bod y broses yn defnyddio'r tocyn defnyddiwr rhagosodedig ac nad yw wedi gofyn am unrhyw ganiatâd arbennig. Ar gyfer y maes hwn, dyma'r gwerth mwyaf cyffredin. Mae Math 2 (%%1937) yn dynodi bod y broses yn gofyn am freintiau gweinyddwr llawn i'w rhedeg ac wedi llwyddo i'w cael. Pan fydd defnyddiwr yn rhedeg rhaglen neu broses fel gweinyddwr, mae wedi'i alluogi. Mae Math 3 (%%1938) yn dynodi mai dim ond yr hawliau gofynnol i gyflawni'r weithred y gofynnwyd amdani y derbyniodd y broses, er ei bod yn gofyn am freintiau uwch.
-
- Label Gorfodol: label uniondeb a neilltuwyd i'r broses.
- ID Proses y Crëwr: gwerth hecsadegol unigryw a neilltuwyd i'r broses a gychwynnodd y broses newydd.
- Enw Proses y Crëwr: llwybr llawn ac enw'r broses a greodd y broses newydd.
- Llinell Reoli Proses: yn darparu manylion am y dadleuon a drosglwyddwyd i'r gorchymyn i gychwyn y broses newydd. Mae'n cynnwys sawl is-faes gan gynnwys y cyfeiriadur cyfredol a hashes.
Casgliad
Wrth ddadansoddi proses, mae'n hanfodol penderfynu a yw'n gyfreithlon neu'n faleisus. Gellir nodi proses gyfreithlon yn hawdd trwy edrych ar bwnc y crëwr a meysydd gwybodaeth proses. Gellir defnyddio ID proses i nodi anghysondebau, megis proses newydd yn cael ei silio o broses rhiant anarferol. Gellir defnyddio'r llinell orchymyn hefyd i wirio cyfreithlondeb proses. Er enghraifft, gall proses gyda dadleuon sy'n cynnwys llwybr ffeil i ddata sensitif ddangos bwriad maleisus. Gellir defnyddio maes Pwnc y Crëwr i benderfynu a yw'r cyfrif defnyddiwr yn gysylltiedig â gweithgaredd amheus neu a oes ganddo freintiau uchel.
At hynny, mae'n bwysig cydberthyn ID digwyddiad 4688 â digwyddiadau perthnasol eraill yn y system i gael cyd-destun am y broses sydd newydd ei chreu. Gellir cydberthyn ID Digwyddiad 4688 â 5156 i benderfynu a yw'r broses newydd yn gysylltiedig ag unrhyw gysylltiadau rhwydwaith. Os yw'r broses newydd yn gysylltiedig â gwasanaeth sydd newydd ei osod, gellir cydberthyn digwyddiad 4697 (gosod gwasanaeth) â 4688 i ddarparu gwybodaeth ychwanegol. Gellir defnyddio ID Digwyddiad 5140 (creu ffeiliau) hefyd i nodi unrhyw ffeiliau newydd a grëwyd gan y broses newydd.
I gloi, deall cyd-destun y system yw pennu'r potensial effaith o'r broses. Mae proses a gychwynnir ar weinydd hanfodol yn debygol o gael mwy o effaith nag un a lansiwyd ar beiriant annibynnol. Mae cyd-destun yn helpu i gyfeirio'r ymchwiliad, blaenoriaethu ymateb a rheoli adnoddau. Trwy ddadansoddi'r gwahanol feysydd yn y log digwyddiadau a pherfformio cydberthynas â digwyddiadau eraill, gellir olrhain prosesau anomalaidd i'w tarddiad a phenderfynu ar yr achos.
