Kiel Interpreti Windows Security Event ID 4688 en Esploro
Enkonduko
Laŭ microsoft, okazaĵidentigiloj (ankaŭ nomitaj okazaĵidentigiloj) unike identigas specialan okazaĵon. Ĝi estas nombra identigilo alkroĉita al ĉiu evento registrita de la Vindoza operaciumo. La identigilo provizas informo pri la okazaĵo kiu okazis kaj povas esti uzata por identigi kaj solvi problemojn rilate al sistemaj operacioj. Okazaĵo, en ĉi tiu kunteksto, rilatas al iu ajn ago farita de la sistemo aŭ uzanto sur sistemo. Ĉi tiuj eventoj povas esti spektitaj en Vindozo uzante la Event Viewer
La evento ID 4688 estas registrita kiam ajn nova procezo estas kreita. Ĝi dokumentas ĉiun programon efektivigitan de la maŝino kaj ĝiajn identigajn datumojn, inkluzive de la kreinto, la celo, kaj la procezo kiu komencis ĝin. Pluraj eventoj estas registritaj sub la evento ID 4688. Post ensaluto, Session Manager Subsystem (SMSS.exe) estas lanĉita, kaj evento 4688 estas registrita. Se sistemo estas infektita de malware, la malware kreas novajn procezojn por funkcii. Tiaj procezoj estus dokumentitaj sub ID 4688.
Interpretante Event ID 4688
Por interpreti eventan ID 4688, estas grave kompreni la malsamajn kampojn inkluzivitajn en la eventa protokolo. Ĉi tiuj kampoj povas esti uzataj por detekti ajnajn neregulaĵojn kaj spuri la originon de procezo reen al ĝia fonto.
- Kreinto Temo: ĉi tiu kampo provizas informojn pri la uzantkonto kiu petis la kreadon de nova procezo. Ĉi tiu kampo disponigas kuntekston kaj povas helpi krimmedicinajn enketistojn identigi anomaliojn. Ĝi inkludas plurajn subkampojn, inkluzive de:
- Sekurecidentigilo (SID)” Laŭ microsoft, la SID estas unika valoro uzata por identigi kuratoron. Ĝi estas uzata por identigi uzantojn sur la Vindoza maŝino.
- Konta Nomo: la SID estas solvita por montri la nomon de la konto, kiu iniciatis la kreadon de la nova procezo.
- Konta Domajno: la domajno al kiu apartenas la komputilo.
- Logon ID: unika deksesuma valoro, kiu estas uzata por identigi la ensalutsesion de la uzanto. Ĝi povas esti uzata por korelacii eventojn, kiuj enhavas la saman eventan ID.
- Cela Subjekto: ĉi tiu kampo provizas informojn pri la uzantkonto, sub kiu funkcias la procezo. La subjekto menciita en la proceza kreokazaĵo povas, en iuj cirkonstancoj, esti aparta de la subjekto menciita en la proceza finaĵokazaĵo. Do, kiam la kreinto kaj la celo ne havas la saman ensaluti, gravas inkluzivi la celsubjekton kvankam ili ambaŭ referencas la saman procezan ID. La subkampoj estas la sama kiel tiu de la kreinto-subjekto supre.
- Proceza Informo: ĉi tiu kampo provizas detalajn informojn pri la kreita procezo. Ĝi inkludas plurajn subkampojn, inkluzive de:
- New Process ID (PID): unika deksesuma valoro asignita al la nova procezo. La Vindoza operaciumo uzas ĝin por konservi trakon de aktivaj procezoj.
- Nova Proceza Nomo: la plena vojo kaj nomo de la plenumebla dosiero, kiu estis lanĉita por krei la novan procezon.
- Token-Taksado-Tipo: ĵetono-taksado estas sekureca mekanismo utiligita de Vindozo por determini ĉu uzantkonto estas rajtigita fari specialan agon. La speco de ĵetono, kiun procezo uzos por peti altigitajn privilegiojn, estas nomita la "ĵetono pri taksado". Estas tri eblaj valoroj por ĉi tiu kampo. Tipo 1 (%%1936) indikas, ke la procezo uzas la defaŭltan uzantan signon kaj ne petis specialajn permesojn. Por ĉi tiu kampo, ĝi estas la plej ofta valoro. Tipo 2 (%%1937) indikas ke la procezo petis plenajn administrantajn privilegiojn por funkcii kaj sukcesis akiri ilin. Kiam uzanto prizorgas aplikaĵon aŭ procezon kiel administranto, ĝi estas ebligita. Tipo 3 (%%1938) indikas ke la procezo nur ricevis la rajtojn necesajn por plenumi la petitan agon, kvankam ĝi petis altigitajn privilegiojn.
- Deviga Etikedo: integrecetikedo asignita al la procezo.
- Kreinto Process ID: unika deksesuma valoro asignita al la procezo kiu iniciatis la novan procezon.
- Nomo de Procezo de Kreinto: plena vojo kaj nomo de la procezo kiu kreis la novan procezon.
- Proceza Komandlinio: provizas detalojn pri la argumentoj pasigitaj en la komandon por komenci la novan procezon. Ĝi inkluzivas plurajn subkampojn inkluzive de la nuna dosierujo kaj hashoj.
konkludo
Kiam oni analizas procezon, estas esenca determini ĉu ĝi estas legitima aŭ malica. Leĝa procezo povas facile esti identigita rigardante la kreindan temon kaj procesinformkampojn. Process ID povas esti uzita por identigi anomaliojn, kiel ekzemple nova procezo estanta generita de nekutima gepatra procezo. La komandlinio ankaŭ povas esti uzata por kontroli la legitimecon de procezo. Ekzemple, procezo kun argumentoj, kiuj inkluzivas dosiervojon al sentemaj datumoj, povas indiki malican intencon. La kampo de Kreinto-Temo povas esti uzata por determini ĉu la uzantkonto estas rilata al suspektinda agado aŭ havas altigitajn privilegiojn.
Krome, estas grave korelacii eventon ID 4688 kun aliaj koncernaj eventoj en la sistemo por akiri kuntekston pri la nove kreita procezo. Event ID 4688 povas esti korelaciita kun 5156 por determini ĉu la nova procezo estas rilata al iuj retkonektoj. Se la nova procezo estas rilata al lastatempe instalita servo, evento 4697 (servo-instalado) povas esti korelaciita kun 4688 por provizi pliajn informojn. Event ID 5140 (dosierkreado) ankaŭ povas esti uzata por identigi iujn ajn novajn dosierojn kreitajn de la nova procezo.
En konkludo, kompreni la kuntekston de la sistemo estas determini la potencialon efiko de la procezo. Procezo komencita sur kritika servilo verŝajne havos pli grandan efikon ol unu lanĉita sur memstara maŝino. Kunteksto helpas direkti la enketon, prioritatigi respondon kaj administri rimedojn. Analizante la malsamajn kampojn en la okazaĵprotokolo kaj elfarante korelacion kun aliaj okazaĵoj, anomaliaj procezoj povas esti spuritaj al sia origino kaj la kialo determinita.
