Тергеуде Windows қауіпсіздік оқиғасының идентификаторы 4688 қалай интерпретацияланады
кіріспе
Сәйкес Microsoft, оқиға идентификаторлары (оқиға идентификаторлары деп те аталады) белгілі бір оқиғаны бірегей түрде анықтайды. Бұл Windows амалдық жүйесі арқылы тіркелген әрбір оқиғаға тіркелген сандық идентификатор. Идентификатор қамтамасыз етеді ақпарат орын алған оқиға туралы және жүйе әрекеттеріне қатысты ақауларды анықтау және жою үшін пайдалануға болады. Оқиға, осы контексте жүйеде немесе пайдаланушы орындайтын кез келген әрекетті білдіреді. Бұл оқиғаларды Windows жүйесінде Оқиғаларды қарау құралы арқылы көруге болады
Оқиға идентификаторы 4688 жаңа процесс жасалған сайын журналға жазылады. Ол құрылғымен орындалатын әрбір бағдарламаны және оның анықтаушы деректерін, соның ішінде жасаушыны, мақсатты және оны бастаған процесті құжаттайды. Бірнеше оқиғалар оқиға идентификаторы 4688 астында тіркеледі. Жүйеге кіргеннен кейін, Сеанс менеджерінің ішкі жүйесі (SMSS.exe) іске қосылды және 4688 оқиғасы журналға жазылады. Жүйеге зиянды бағдарлама жұққан болса, зиянды бағдарлама іске қосу үшін жаңа процестерді жасауы мүмкін. Мұндай процестер ID 4688 бойынша құжатталады.
Оқиға идентификаторы 4688 интерпретациялануда
Оқиға идентификаторы 4688 мәнін түсіндіру үшін оқиғалар журналына енгізілген әртүрлі өрістерді түсіну маңызды. Бұл өрістерді кез келген бұзушылықтарды анықтау және процестің шығуын оның көзіне қайтару үшін пайдалануға болады.
- Жасаушы тақырыбы: бұл өріс жаңа процесті жасауды сұраған пайдаланушы тіркелгісі туралы ақпаратты береді. Бұл өріс контекст береді және сот-медициналық тергеушілерге аномалияларды анықтауға көмектеседі. Ол бірнеше ішкі өрістерді қамтиды, соның ішінде:
- Қауіпсіздік идентификаторы (SID)» сәйкес Microsoft, SID сенімді тұлғаны анықтау үшін пайдаланылатын бірегей мән болып табылады. Ол Windows құрылғысындағы пайдаланушыларды анықтау үшін қолданылады.
- Тіркелгі атауы: SID жаңа процесті құруды бастаған тіркелгі атауын көрсету үшін шешілді.
- Тіркелгі домені: компьютер тиесілі домен.
- Жүйеге кіру идентификаторы: пайдаланушының кіру сеансын анықтау үшін пайдаланылатын бірегей он алтылық мән. Оны бірдей оқиға идентификаторы бар оқиғаларды корреляциялау үшін пайдалануға болады.
- Мақсатты тақырып: бұл өріс процесс орындалып жатқан пайдаланушы тіркелгісі туралы ақпаратты береді. Процесті құру оқиғасында айтылған тақырып кейбір жағдайларда процесті тоқтату оқиғасында айтылған тақырыптан өзгеше болуы мүмкін. Осылайша, жасаушы мен мақсаттың бірдей кіруі болмаған кезде, екеуі де бірдей процесс идентификаторына сілтеме жасаса да, мақсатты тақырыпты қосу маңызды. Ішкі өрістер жоғарыдағы жасаушы тақырыбымен бірдей.
- Процесс туралы ақпарат: бұл өріс жасалған процесс туралы толық ақпаратты береді. Ол бірнеше ішкі өрістерді қамтиды, соның ішінде:
- Жаңа процесс идентификаторы (PID): жаңа процесске тағайындалған бірегей он алтылық мән. Windows операциялық жүйесі оны белсенді процестерді қадағалау үшін пайдаланады.
- Жаңа процесс атауы: жаңа процесті жасау үшін іске қосылған орындалатын файлдың толық жолы мен атауы.
- Токенді бағалау түрі: таңбалауышты бағалау — пайдаланушы тіркелгісінің белгілі бір әрекетті орындауға рұқсаты бар-жоғын анықтау үшін Windows пайдаланатын қауіпсіздік механизмі. Процесс жоғарылатылған артықшылықтарды сұрау үшін пайдаланатын таңбалауыш түрі «токенді бағалау түрі» деп аталады. Бұл өріс үшін үш мүмкін мән бар. 1-түр (%%1936) процесс әдепкі пайдаланушы таңбалауышын пайдаланып жатқанын және ешқандай арнайы рұқсаттарды сұрамағанын білдіреді. Бұл өріс үшін ол ең көп таралған мән болып табылады. 2 түрі (%%1937) процестің іске қосу үшін толық әкімші артықшылықтарын сұрағанын және оларды алу сәтті болғанын білдіреді. Пайдаланушы қолданбаны немесе процесті әкімші ретінде іске қосқанда, ол қосылады. 3 түрі (%%1938) процесс жоғары артықшылықтарды сұраса да, тек сұралған әрекетті орындау үшін қажетті құқықтарды алғанын білдіреді.
- Міндетті белгі: процеске тағайындалған тұтастық белгісі.
- Жасаушы процесінің идентификаторы: жаңа процесті бастаған процеске тағайындалған бірегей он алтылық мән.
- Жасаушы процесінің аты: жаңа процесті жасаған процестің толық жолы және аты.
- Процесс пәрмен жолы: жаңа процесті бастау үшін пәрменге жіберілген аргументтер туралы мәліметтерді береді. Ол бірнеше ішкі өрістерді қамтиды, соның ішінде ағымдағы каталог пен хэштер.
қорытынды
Процесті талдау кезінде оның заңды немесе зиянды екенін анықтау өте маңызды. Заңды процесті жасаушы тақырыбы мен өңдеу ақпарат өрістеріне қарап оңай анықтауға болады. Процесс идентификаторын әдеттен тыс негізгі процестен пайда болған жаңа процесс сияқты ауытқуларды анықтау үшін пайдалануға болады. Пәрмен жолын процестің заңдылығын тексеру үшін де пайдалануға болады. Мысалы, құпия деректерге файл жолын қамтитын аргументтері бар процесс зиянды ниетті көрсетуі мүмкін. Жасаушы тақырыбы өрісін пайдаланушы тіркелгісінің күдікті әрекетпен байланыстырылғанын немесе жоғары артықшылықтарға ие екенін анықтау үшін пайдалануға болады.
Оған қоса, жаңадан жасалған процесс туралы мәтінмәнді алу үшін 4688 оқиға идентификаторын жүйедегі басқа сәйкес оқиғалармен байланыстыру маңызды. Жаңа процестің кез келген желі қосылымдарымен байланысты екенін анықтау үшін 4688 оқиға идентификаторын 5156-мен корреляциялауға болады. Жаңа процесс жаңадан орнатылған қызметпен байланысты болса, 4697 оқиғасы (қызметті орнату) қосымша ақпаратты қамтамасыз ету үшін 4688-мен корреляциялануы мүмкін. Оқиға идентификаторы 5140 (файл жасау) жаңа процесс арқылы жасалған кез келген жаңа файлдарды анықтау үшін де пайдаланылуы мүмкін.
Қорытындылай келе, жүйенің контекстін түсіну әлеуетті анықтау болып табылады әсер процесінің. Критикалық серверде басталған процесс, жеке құрылғыда іске қосылғанға қарағанда көбірек әсер етуі мүмкін. Мәтінмән тергеуді бағыттауға, жауапқа басымдық беруге және ресурстарды басқаруға көмектеседі. Оқиғалар журналындағы әртүрлі өрістерді талдау және басқа оқиғалармен корреляцияны орындау арқылы аномальды процестерді олардың шығу тегі мен себебін анықтауға болады.
