Мөрдөн байцаалтын явцад Windows аюулгүй байдлын үйл явдлын ID 4688-ийг хэрхэн тайлбарлах вэ

Оршил

дагуу Microsoft-, үйл явдлын ID (мөн үйл явдлын танигч гэж нэрлэдэг) нь тодорхой үйл явдлыг өвөрмөц байдлаар тодорхойлдог. Энэ нь Windows үйлдлийн системээр бүртгэгдсэн үйл явдал бүрт хавсаргасан тоон танигч юм. Тодорхойлогч нь өгдөг мэдээлэл болсон үйл явдлын тухай, системийн үйл ажиллагаатай холбоотой асуудлуудыг тодорхойлох, арилгахад ашиглаж болно. Үйл явдал нь энэ нөхцөлд систем эсвэл систем дээрх хэрэглэгчийн хийсэн аливаа үйлдлийг хэлнэ. Эдгээр үйл явдлыг Windows дээр Event Viewer ашиглан үзэх боломжтой

Үйл явдлын ID 4688 нь шинэ процесс үүсгэх бүрт бүртгэгддэг. Энэ нь машинаар гүйцэтгэсэн программ бүрийг баримтжуулж, түүнийг үүсгэгч, зорилтот зорилго, түүнийг эхлүүлсэн үйл явц зэрэг түүнийг тодорхойлох өгөгдлийг баримтжуулдаг. Хэд хэдэн үйл явдлыг үйл явдлын ID 4688 дор бүртгэдэг. Нэвтрэх үед Session Manager дэд систем (SMSS.exe) ажиллаж, 4688 үйл явдал бүртгэгдэнэ. Хэрэв систем нь хортой програмаар халдварлагдсан бол хортой програм нь ажиллах шинэ процессуудыг үүсгэх магадлалтай. Ийм үйл явцыг ID 4688-ийн дагуу баримтжуулна.

 

AWS дээрх Ubuntu 20.04 дээр Redmine-г байрлуул

Тайлбарлах үйл явдлын ID 4688

Үйл явдлын ID 4688-г тайлбарлахын тулд үйл явдлын бүртгэлд багтсан өөр өөр талбаруудыг ойлгох нь чухал юм. Эдгээр талбарууд нь аливаа зөрчлийг илрүүлж, үйл явцын гарал үүслийг эх сурвалж руу нь буцааж хянах боломжтой.

• Бүтээгчийн сэдэв: энэ талбар нь шинэ процесс үүсгэхийг хүссэн хэрэглэгчийн бүртгэлийн талаарх мэдээллийг агуулна. Энэ талбар нь контекстийг өгч, шүүх эмнэлгийн мөрдөн байцаагчдад гажиг илрүүлэхэд тусална. Үүнд хэд хэдэн дэд талбарууд багтдаг бөгөөд үүнд:

• • Хамгаалалтын танигч (SID)” дагуу Microsoft-, SID нь итгэмжлэгдсэн төлөөлөгчийг тодорхойлоход хэрэглэгддэг өвөрмөц утга юм. Энэ нь Windows машин дээрх хэрэглэгчдийг тодорхойлоход хэрэглэгддэг.
  • Дансны нэр: SID нь шинэ процессыг үүсгэсэн дансны нэрийг харуулахаар шийдэгдсэн.
  • Дансны домэйн: компьютерийн харьяалагддаг домэйн.
  • Нэвтрэх ID: хэрэглэгчийн нэвтрэх сессийг тодорхойлоход ашигладаг өвөрмөц арван арван тоот утга. Үүнийг ижил үйл явдлын ID агуулсан үйл явдлуудыг уялдуулахад ашиглаж болно.

• Зорилтот сэдэв: Энэ талбар нь тухайн процесс явагдаж байгаа хэрэглэгчийн бүртгэлийн талаарх мэдээллийг өгдөг. Процесс үүсгэх үйл явдалд дурдсан сэдэв нь зарим тохиолдолд үйл явцыг зогсоох үйл явдалд дурдсан субьектээс ялгаатай байж болно. Тиймээс, бүтээгч болон зорилтот хоёр ижил нэвтрэлт байхгүй үед хоёулаа ижил үйл явцын ID-д хандсан ч гэсэн зорилтот сэдвийг оруулах нь чухал юм. Дэд талбарууд нь дээрх бүтээгчийн сэдэвтэй ижил байна.
• Процессын мэдээлэл: Энэ талбар нь үүсгэсэн үйл явцын талаарх дэлгэрэнгүй мэдээллийг өгдөг. Үүнд хэд хэдэн дэд талбарууд багтдаг бөгөөд үүнд:

• • Шинэ үйл явцын ID (PID): шинэ процесст оноосон өвөрмөц арван арвантын утга. Windows үйлдлийн систем нь идэвхтэй үйл явцыг хянахын тулд үүнийг ашигладаг.
  • Шинэ процессын нэр: шинэ процесс үүсгэхийн тулд эхлүүлсэн гүйцэтгэгдэх файлын бүрэн зам ба нэр.
  • Токен үнэлгээний төрөл: Токен үнэлгээ нь хэрэглэгчийн бүртгэл тодорхой үйлдэл хийх эрхтэй эсэхийг тодорхойлохын тулд Windows-д ашигладаг аюулгүй байдлын механизм юм. Процессын өндөр эрх хүсэхэд ашиглах токенын төрлийг "жетон үнэлгээний төрөл" гэж нэрлэдэг. Энэ талбарт гурван боломжит утга байна. 1-р төрөл (%%1936) нь процесс нь анхдагч хэрэглэгчийн токеныг ашиглаж байгаа бөгөөд ямар нэгэн тусгай зөвшөөрөл хүсээгүй гэсэн үг юм. Энэ талбарын хувьд энэ нь хамгийн нийтлэг утга юм. Төрөл 2 (%%1937) процесс нь администраторын бүрэн эрхийг ажиллуулахыг хүссэн бөгөөд тэдгээрийг амжилттай авсан гэсэн үг юм. Хэрэглэгч програм эсвэл процессыг администратороор ажиллуулах үед энэ нь идэвхждэг. 3-р төрөл (%%1938) нь процесс нь өндөр давуу эрх хүссэн ч зөвхөн хүссэн үйлдлийг гүйцэтгэхэд шаардлагатай эрхийг хүлээн авсан гэсэн үг юм.

• • Заавал шошго: процесст хуваарилагдсан бүрэн бүтэн байдлын шошго. 
  • Бүтээгчийн процессын ID: шинэ процессыг эхлүүлсэн процесст оноогдсон өвөрмөц арван арвантын утга. 
  • Бүтээгчийн процессын нэр: шинэ процессыг үүсгэсэн процессын бүрэн зам ба нэр.
  • Процессын командын мөр: шинэ процессыг эхлүүлэх команд руу дамжуулсан аргументуудын талаарх дэлгэрэнгүй мэдээллийг өгдөг. Энэ нь одоогийн лавлах болон хэш зэрэг хэд хэдэн дэд талбаруудыг агуулдаг.

Ubuntu 18.04 дээр GoPhish фишинг платформыг AWS дээр байрлуул

Дүгнэлт

 

Үйл явцыг шинжлэхдээ энэ нь хууль ёсны эсвэл хортой эсэхийг тодорхойлох нь амин чухал юм. Бүтээгчийн сэдэв, үйл явцын мэдээллийн талбаруудыг хараад хууль ёсны үйл явцыг хялбархан тодорхойлж болно. Процессын ID-г ер бусын эх процессоос үүссэн шинэ процесс гэх мэт гажуудлыг тодорхойлоход ашиглаж болно. Командын мөрийг мөн үйл явцын хууль ёсны эсэхийг шалгахад ашиглаж болно. Жишээлбэл, нууц өгөгдөлд хүрэх файлын замыг агуулсан аргументтай процесс нь хорлонтой санааг илэрхийлж болно. Бүтээгчийн субьект талбарыг хэрэглэгчийн бүртгэл сэжигтэй үйл ажиллагаатай холбоотой эсэхийг тодорхойлоход ашиглаж болно. 

Цаашилбал, шинээр үүсгэсэн үйл явцын талаарх контекстийг олж авахын тулд үйл явдлын ID 4688-г систем дэх бусад холбогдох үйл явдлуудтай уялдуулах нь чухал юм. Үйл явдлын ID 4688-ыг 5156-тай холбож, шинэ процесс нь ямар нэгэн сүлжээний холболттой холбоотой эсэхийг тодорхойлох боломжтой. Хэрэв шинэ процесс нь шинээр суулгасан үйлчилгээтэй холбоотой бол 4697 (үйлчилгээний суулгац) үйл явдлыг 4688-тай холбож нэмэлт мэдээлэл өгөх боломжтой. Үйл явдлын ID 5140 (файл үүсгэх) нь шинэ процессоор үүсгэгдсэн аливаа шинэ файлуудыг тодорхойлоход ашиглаж болно.

Эцэст нь хэлэхэд, системийн нөхцөл байдлыг ойлгох нь боломжуудыг тодорхойлох явдал юм үр нөлөө үйл явцын. Чухал сервер дээр эхлүүлсэн процесс нь бие даасан машин дээр эхлүүлсэн процессоос илүү их нөлөө үзүүлэх магадлалтай. Контекст нь мөрдөн байцаалтыг чиглүүлэх, хариу арга хэмжээг эрэмбэлэх, нөөцийг удирдахад тусалдаг. Үйл явдлын бүртгэлийн янз бүрийн талбаруудад дүн шинжилгээ хийж, бусад үйл явдлуудтай уялдаа холбоо тогтоох замаар хэвийн бус үйл явцыг тэдгээрийн гарал үүсэл, шалтгааныг тодорхойлох боломжтой.