Cara Nerjemahake ID Acara Keamanan Windows 4688 ing Investigasi
Pambuka
miturut Microsoft, ID acara (uga disebut pengenal acara) kanthi unik ngenali acara tartamtu. Iki minangka pengenal numerik sing dipasang ing saben acara sing dicathet dening sistem operasi Windows. Pengenal nyedhiyakake Alexa babagan acara sing kedadeyan lan bisa digunakake kanggo ngenali lan ngatasi masalah sing ana gandhengane karo operasi sistem. Acara, ing konteks iki, nuduhake tumindak sing ditindakake dening sistem utawa pangguna ing sistem. Acara kasebut bisa dideleng ing Windows nggunakake Event Viewer
ID acara 4688 dicathet nalika proses anyar digawe. Iki nyathet saben program sing dieksekusi dening mesin lan data identifikasi, kalebu panyipta, target, lan proses sing miwiti. Sawetara acara dicathet ing ID acara 4688. Sawise mlebu, Subsistem Manajer Sesi (SMSS.exe) diluncurake, lan acara 4688 dicathet. Yen sistem kena infeksi malware, malware kasebut bakal nggawe proses anyar sing bakal ditindakake. Proses kasebut bakal didokumentasikan miturut ID 4688.
Interpretasi Acara ID 4688
Kanggo napsirake ID acara 4688, penting kanggo ngerti macem-macem lapangan sing kalebu ing log acara. Kothak iki bisa digunakake kanggo ndeteksi irregularities lan nglacak asal saka proses bali menyang sumber.
- Subjek Pencipta: kolom iki nyedhiyakake informasi babagan akun pangguna sing njaluk nggawe proses anyar. Bidang iki nyedhiyakake konteks lan bisa mbantu penyidik forensik ngenali anomali. Iki kalebu sawetara subfield, kalebu:
- Security Identifier (SID)” Miturut Microsoft, SID minangka nilai unik sing digunakake kanggo ngenali wali. Iki digunakake kanggo ngenali pangguna ing mesin Windows.
- Jeneng Akun: SID ditanggulangi kanggo nuduhake jeneng akun sing miwiti nggawe proses anyar.
- Domain Akun: domain sing dadi milik komputer.
- ID Logon: nilai heksadesimal unik sing digunakake kanggo ngenali sesi logon pangguna. Bisa digunakake kanggo nggandhengake acara sing ngemot ID acara sing padha.
- Subjek Target: kolom iki nyedhiyakake informasi babagan akun pangguna sing diproses. Subyek sing kasebut ing acara nggawe proses bisa, ing sawetara kahanan, beda saka subyek kasebut ing acara mandap proses. Dadi, nalika pangripta lan target ora duwe logon sing padha, penting kanggo nyakup subyek target sanajan padha ngrujuk ID proses sing padha. Subbidang padha karo subyek pangripta ing ndhuwur.
- Informasi Proses: lapangan iki nyedhiyakake informasi rinci babagan proses sing digawe. Iki kalebu sawetara subfield, kalebu:
- ID Proses Anyar (PID): nilai heksadesimal unik sing ditugasake kanggo proses anyar. Sistem operasi Windows digunakake kanggo nglacak proses aktif.
- Jeneng Proses Anyar: path lengkap lan jeneng file eksekusi sing diluncurake kanggo nggawe proses anyar.
- Jinis Evaluasi Token: evaluasi token minangka mekanisme keamanan sing digunakake dening Windows kanggo nemtokake manawa akun pangguna diidini nindakake tumindak tartamtu. Jinis token sing bakal digunakake proses kanggo njaluk hak istimewa diarani "jinis evaluasi token." Ana telung nilai bisa kanggo lapangan iki. Tipe 1 (%% 1936) nuduhake manawa proses kasebut nggunakake token pangguna standar lan durung njaluk ijin khusus. Kanggo lapangan iki, iku nilai paling umum. Tipe 2 (%% 1937) nuduhake yen proses kasebut njaluk hak istimewa administrator lengkap supaya bisa ditindakake lan kasil entuk. Nalika pangguna mbukak aplikasi utawa proses minangka administrator, iku diaktifake. Tipe 3 (%%1938) nuduhake yen proses kasebut mung nampa hak sing dibutuhake kanggo nindakake tumindak sing dijaluk, sanajan njaluk hak istimewa sing luwih dhuwur.
- Label Wajib: label integritas sing ditugasake kanggo proses kasebut.
- ID Proses Pencipta: nilai heksadesimal unik sing ditugasake kanggo proses sing miwiti proses anyar.
- Jeneng Proses Pencipta: path lengkap lan jeneng proses sing nggawe proses anyar.
- Baris Perintah Proses: menehi katrangan babagan argumen sing dikirim menyang printah kanggo miwiti proses anyar. Iki kalebu sawetara subfield kalebu direktori saiki lan hash.
kesimpulan
Nalika nganalisa proses, penting kanggo nemtokake manawa proses kasebut sah utawa ala. Proses sing sah bisa gampang diidentifikasi kanthi ndeleng subyek pangripta lan ngolah kolom informasi. ID Proses bisa digunakake kanggo ngenali anomali, kayata proses anyar sing diwiwiti saka proses induk sing ora biasa. Baris perintah uga bisa digunakake kanggo verifikasi legitimasi sawijining proses. Contone, proses kanthi argumen sing kalebu path file menyang data sensitif bisa uga nuduhake maksud ala. Bidang Subjek Pencipta bisa digunakake kanggo nemtokake manawa akun pangguna digandhengake karo kegiatan sing curiga utawa duwe hak istimewa sing luwih dhuwur.
Salajengipun, penting kanggo nggandhengake ID acara 4688 karo acara liyane sing relevan ing sistem kanggo entuk konteks babagan proses sing mentas digawe. ID Acara 4688 bisa digandhengake karo 5156 kanggo nemtokake manawa proses anyar digandhengake karo sambungan jaringan. Yen proses anyar digandhengake karo layanan sing mentas diinstal, acara 4697 (instalasi layanan) bisa digandhengake karo 4688 kanggo menehi informasi tambahan. ID Acara 5140 (nggawe file) uga bisa digunakake kanggo ngenali file anyar sing digawe dening proses anyar.
Kesimpulane, ngerteni konteks sistem yaiku kanggo nemtokake potensial impact saka proses. Proses sing diwiwiti ing server kritis bisa uga duwe pengaruh sing luwih gedhe tinimbang sing diluncurake ing mesin mandiri. Konteks mbantu ngarahake penyelidikan, menehi prioritas respon lan ngatur sumber daya. Kanthi nganalisa macem-macem lapangan ing log acara lan nindakake korélasi karo acara liyane, proses anomali bisa dilacak menyang asal-usule lan sababe ditemtokake.
