Cara Mentafsir ID Acara Keselamatan Windows 4688 dalam Penyiasatan
Pengenalan
Menurut microsoft, ID peristiwa (juga dipanggil pengecam peristiwa) mengenal pasti peristiwa tertentu secara unik. Ia ialah pengecam berangka yang dilampirkan pada setiap peristiwa yang dilog oleh sistem pengendalian Windows. Pengecam menyediakan maklumat tentang peristiwa yang berlaku dan boleh digunakan untuk mengenal pasti dan menyelesaikan masalah yang berkaitan dengan operasi sistem. Peristiwa, dalam konteks ini, merujuk kepada sebarang tindakan yang dilakukan oleh sistem atau pengguna pada sistem. Acara ini boleh dilihat pada Windows menggunakan Pemapar Acara
ID acara 4688 dilog setiap kali proses baharu dibuat. Ia mendokumenkan setiap program yang dilaksanakan oleh mesin dan data pengenalpastiannya, termasuk pencipta, sasaran dan proses yang memulakannya. Beberapa acara dilog di bawah ID acara 4688. Selepas log masuk, Subsistem Pengurus Sesi (SMSS.exe) dilancarkan dan acara 4688 direkodkan. Jika sistem dijangkiti oleh perisian hasad, perisian hasad berkemungkinan mencipta proses baharu untuk dijalankan. Proses sedemikian akan didokumenkan di bawah ID 4688.
Mentafsir ID Peristiwa 4688
Untuk mentafsir ID peristiwa 4688, adalah penting untuk memahami medan berbeza yang disertakan dalam log peristiwa. Medan ini boleh digunakan untuk mengesan sebarang penyelewengan dan menjejaki asal proses kembali ke sumbernya.
- Subjek Pencipta: medan ini menyediakan maklumat tentang akaun pengguna yang meminta penciptaan proses baharu. Medan ini menyediakan konteks dan boleh membantu penyiasat forensik mengenal pasti anomali. Ia termasuk beberapa subbidang, termasuk:
- Pengecam Keselamatan (SID)” Menurut microsoft, SID ialah nilai unik yang digunakan untuk mengenal pasti pemegang amanah. Ia digunakan untuk mengenal pasti pengguna pada mesin Windows.
- Nama Akaun: SID diselesaikan untuk menunjukkan nama akaun yang memulakan penciptaan proses baharu.
- Domain Akaun: domain yang dimiliki oleh komputer.
- Logon ID: nilai perenambelasan unik yang digunakan untuk mengenal pasti sesi log masuk pengguna. Ia boleh digunakan untuk mengaitkan acara yang mengandungi ID acara yang sama.
- Subjek Sasaran: medan ini memberikan maklumat tentang akaun pengguna yang sedang dijalankan oleh proses. Subjek yang disebut dalam peristiwa penciptaan proses mungkin, dalam beberapa keadaan, berbeza daripada subjek yang disebut dalam peristiwa penamatan proses. Jadi, apabila pencipta dan sasaran tidak mempunyai log masuk yang sama, adalah penting untuk memasukkan subjek sasaran walaupun kedua-duanya merujuk kepada ID proses yang sama. Subbidang adalah sama seperti subjek pencipta di atas.
- Maklumat Proses: medan ini menyediakan maklumat terperinci tentang proses yang dibuat. Ia termasuk beberapa subbidang, termasuk:
- ID Proses Baharu (PID): nilai perenambelasan unik yang diberikan kepada proses baharu. Sistem pengendalian Windows menggunakannya untuk menjejaki proses aktif.
- Nama Proses Baharu: laluan penuh dan nama fail boleh laku yang dilancarkan untuk mencipta proses baharu.
- Jenis Penilaian Token: penilaian token ialah mekanisme keselamatan yang digunakan oleh Windows untuk menentukan sama ada akaun pengguna dibenarkan untuk melakukan tindakan tertentu. Jenis token yang akan digunakan oleh proses untuk meminta keistimewaan yang tinggi dipanggil "jenis penilaian token." Terdapat tiga nilai yang mungkin untuk medan ini. Jenis 1 (%%1936) menandakan bahawa proses menggunakan token pengguna lalai dan tidak meminta sebarang kebenaran khas. Untuk medan ini, ia adalah nilai yang paling biasa. Jenis 2 (%% 1937) menandakan bahawa proses meminta keistimewaan pentadbir penuh untuk dijalankan dan berjaya mendapatkannya. Apabila pengguna menjalankan aplikasi atau proses sebagai pentadbir, ia didayakan. Jenis 3 (%%1938) menunjukkan bahawa proses hanya menerima hak yang diperlukan untuk melaksanakan tindakan yang diminta, walaupun ia meminta keistimewaan yang tinggi.
- Label Mandatori: label integriti yang diberikan kepada proses.
- ID Proses Pencipta: nilai perenambelasan unik yang diberikan kepada proses yang memulakan proses baharu.
- Nama Proses Pencipta: laluan penuh dan nama proses yang mencipta proses baharu.
- Baris Perintah Proses: menyediakan butiran tentang hujah yang dihantar ke dalam arahan untuk memulakan proses baharu. Ia termasuk beberapa subbidang termasuk direktori semasa dan cincang.
Kesimpulan
Apabila menganalisis sesuatu proses, adalah penting untuk menentukan sama ada ia sah atau berniat jahat. Proses yang sah boleh dikenal pasti dengan mudah dengan melihat subjek pencipta dan medan maklumat proses. ID Proses boleh digunakan untuk mengenal pasti anomali, seperti proses baharu yang dihasilkan daripada proses induk yang luar biasa. Baris arahan juga boleh digunakan untuk mengesahkan kesahihan sesuatu proses. Sebagai contoh, proses dengan argumen yang merangkumi laluan fail ke data sensitif mungkin menunjukkan niat jahat. Medan Subjek Pencipta boleh digunakan untuk menentukan sama ada akaun pengguna dikaitkan dengan aktiviti yang mencurigakan atau mempunyai keistimewaan yang tinggi.
Tambahan pula, adalah penting untuk mengaitkan ID peristiwa 4688 dengan peristiwa lain yang berkaitan dalam sistem untuk mendapatkan konteks tentang proses yang baru dibuat. ID Peristiwa 4688 boleh dikaitkan dengan 5156 untuk menentukan sama ada proses baharu dikaitkan dengan sebarang sambungan rangkaian. Jika proses baharu dikaitkan dengan perkhidmatan yang baru dipasang, acara 4697 (pemasangan perkhidmatan) boleh dikaitkan dengan 4688 untuk memberikan maklumat tambahan. ID Peristiwa 5140 (penciptaan fail) juga boleh digunakan untuk mengenal pasti sebarang fail baharu yang dibuat oleh proses baharu.
Kesimpulannya, memahami konteks sistem adalah untuk menentukan potensi kesan daripada proses tersebut. Proses yang dimulakan pada pelayan kritikal mungkin mempunyai kesan yang lebih besar daripada yang dilancarkan pada mesin kendiri. Konteks membantu mengarahkan penyiasatan, mengutamakan respons dan mengurus sumber. Dengan menganalisis medan berbeza dalam log peristiwa dan melakukan korelasi dengan peristiwa lain, proses anomali boleh dikesan kepada asalnya dan punca ditentukan.
