Kaip interpretuoti „Windows“ saugos įvykio ID 4688 atliekant tyrimą
Įvadas
Pagal "Microsoft", įvykių ID (dar vadinami įvykių identifikatoriais) unikaliai identifikuoja konkretų įvykį. Tai skaitmeninis identifikatorius, pridedamas prie kiekvieno „Windows“ operacinės sistemos užregistruoto įvykio. Identifikatorius suteikia informacija apie įvykusį įvykį ir gali būti naudojamas su sistemos operacijomis susijusioms problemoms nustatyti ir šalinti. Šiame kontekste įvykis reiškia bet kokį veiksmą, kurį sistemoje ar vartotojas atlieka sistemoje. Šiuos įvykius galima peržiūrėti sistemoje Windows naudojant įvykių peržiūros priemonę
Įvykio ID 4688 registruojamas kiekvieną kartą, kai sukuriamas naujas procesas. Ji dokumentuoja kiekvieną mašinos vykdomą programą ir jos identifikavimo duomenis, įskaitant kūrėją, tikslą ir procesą, kuris ją pradėjo. Keli įvykiai registruojami įvykio ID 4688. Prisijungus, Paleidžiamas seansų tvarkyklės posistemis (SMSS.exe), o 4688 įvykis registruojamas. Jei sistema užkrėsta kenkėjiška programa, tikėtina, kad kenkėjiška programa sukurs naujus procesus. Tokie procesai būtų dokumentuojami pagal ID 4688.
Vertimas žodžiu Įvykio ID 4688
Norint interpretuoti įvykio ID 4688, svarbu suprasti skirtingus įvykių žurnalo laukus. Šiuos laukus galima naudoti aptikti bet kokius pažeidimus ir sekti proceso kilmę iki jo šaltinio.
- Kūrėjo tema: šiame lauke pateikiama informacija apie vartotojo abonementą, kuris paprašė sukurti naują procesą. Šiame lauke pateikiamas kontekstas ir jis gali padėti teismo medicinos tyrėjams nustatyti anomalijas. Jį sudaro keli polaukiai, įskaitant:
- Saugos identifikatorius (SID)“ Pagal "Microsoft", SID yra unikali vertė, naudojama patikėtiniui identifikuoti. Jis naudojamas naudotojams identifikuoti „Windows“ įrenginyje.
- Paskyros pavadinimas: nustatyta, kad SID rodo paskyros, kuri inicijavo naujo proceso kūrimą, pavadinimą.
- Paskyros domenas: domenas, kuriam priklauso kompiuteris.
- Prisijungimo ID: unikali šešioliktainė reikšmė, naudojama vartotojo prisijungimo seansui identifikuoti. Jis gali būti naudojamas susieti įvykius, kuriuose yra tas pats įvykio ID.
- Tikslinė tema: šiame lauke pateikiama informacija apie vartotojo abonementą, pagal kurį vykdomas procesas. Proceso kūrimo įvykyje minimas subjektas tam tikromis aplinkybėmis gali skirtis nuo proceso užbaigimo įvykyje paminėto subjekto. Taigi, kai kūrėjas ir taikinys neturi to paties prisijungimo, svarbu įtraukti tikslinę temą, net jei jie abu nurodo tą patį proceso ID. Polaukiai yra tokie patys kaip aukščiau esančio kūrėjo temos polaukiai.
- Proceso informacija: šiame lauke pateikiama išsami informacija apie sukurtą procesą. Jį sudaro keli polaukiai, įskaitant:
- Naujas proceso ID (PID): unikali šešioliktainė reikšmė, priskirta naujam procesui. „Windows“ operacinė sistema ją naudoja aktyviems procesams stebėti.
- Naujo proceso pavadinimas: visas vykdomojo failo, kuris buvo paleistas kuriant naują procesą, kelias ir pavadinimas.
- Ženklo įvertinimo tipas: prieigos rakto įvertinimas yra saugos mechanizmas, kurį naudoja „Windows“, kad nustatytų, ar vartotojo abonementas yra įgaliotas atlikti tam tikrą veiksmą. Žetono tipas, kurį procesas naudos prašydamas didesnių privilegijų, vadinamas „žetono įvertinimo tipu“. Yra trys galimos šio lauko reikšmės. 1 tipas (%%1936) reiškia, kad procesas naudoja numatytąjį vartotojo prieigos raktą ir neprašė jokių specialių leidimų. Šiame lauke tai yra labiausiai paplitusi reikšmė. 2 tipas (%%1937) reiškia, kad procesas pareikalavo visų administratoriaus teisių ir buvo sėkmingai gautas. Kai vartotojas paleidžia programą ar procesą kaip administratorius, jis įgalinamas. 3 tipas (%%1938) reiškia, kad procesas gavo tik tas teises, kurios reikalingos prašomam veiksmui atlikti, net jei buvo prašoma didesnių privilegijų.
- Privaloma etiketė: procesui priskirta vientisumo etiketė.
- Kūrėjo proceso ID: unikali šešioliktainė reikšmė, priskirta procesui, kuris inicijavo naują procesą.
- Kūrėjo proceso pavadinimas: visas kelias ir proceso, sukūrusio naują procesą, pavadinimas.
- Proceso komandų eilutė: pateikia išsamią informaciją apie argumentus, perduodamus komandai, norint pradėti naują procesą. Jame yra keli polaukiai, įskaitant dabartinį katalogą ir maišas.
Išvada
Analizuojant procesą labai svarbu nustatyti, ar jis teisėtas, ar kenkėjiškas. Teisėtą procesą galima lengvai atpažinti pažvelgus į kūrėjo subjekto ir proceso informacijos laukus. Proceso ID gali būti naudojamas norint nustatyti anomalijas, pvz., naują procesą, kurį sukelia neįprastas pirminis procesas. Komandinė eilutė taip pat gali būti naudojama proceso teisėtumui patikrinti. Pavyzdžiui, procesas su argumentais, apimančiais failo kelią į neskelbtinus duomenis, gali reikšti kenkėjiškus ketinimus. Lauką Kūrėjo tema galima naudoti norint nustatyti, ar vartotojo abonementas yra susietas su įtartina veikla, ar turi padidintas teises.
Be to, svarbu susieti įvykio ID 4688 su kitais svarbiais įvykiais sistemoje, kad būtų galima gauti kontekstą apie naujai sukurtą procesą. Įvykio ID 4688 gali būti koreliuojamas su 5156, siekiant nustatyti, ar naujas procesas yra susietas su kokiais nors tinklo ryšiais. Jei naujas procesas yra susietas su naujai įdiegta paslauga, 4697 įvykis (paslaugos diegimas) gali būti susietas su 4688, kad būtų pateikta papildomos informacijos. Įvykio ID 5140 (failo kūrimas) taip pat gali būti naudojamas identifikuoti bet kokius naujus failus, sukurtus naudojant naują procesą.
Apibendrinant, suprasti sistemos kontekstą yra potencialo nustatymas poveikis proceso. Tikėtina, kad procesas, pradėtas svarbiame serveryje, turės didesnį poveikį nei procesas, pradėtas atskirame kompiuteryje. Kontekstas padeda nukreipti tyrimą, nustatyti atsakymo prioritetus ir valdyti išteklius. Analizuojant įvairius įvykių žurnalo laukus ir atliekant koreliaciją su kitais įvykiais, galima atsekti anomalinius procesus iki jų kilmės ir nustatyti priežastį.
