Hvernig á að túlka Windows öryggisatburðakenni 4688 í rannsókn
Hvernig gengur lífið dag frá degi? Er það í jafnvægi og allt eins og það á að vera? Er jafnvægi hvort sem litið er á veraldlega stöðu eða andlega? Lífið er eins og það er. Það er ekki alltaf sólskyn. Það koma reglulega lægðir með rok og rigningu. Við vitum að í heildar samhenginu er lægð hluti af vistkerfi að leita að jafnvægi. Stundum erum við stödd í miðju lægðarinnar. Þar er logn og gott veður, sama hvað gengur á þar sem stormurinn er mestur. Sama lögmál gildir varðandi þitt eigið líf. Ef þú ert í þinn miðju, þínum sannleik þá heldur þú alltaf jafnvægi átakalaust. Sama hvað gustar mikið frá þér þegar þú lætur til þín taka. Huldufólk hefur gefið okkur hugleiðslu sem hjálpar okkur að finna þessa miðju, finna kjarna okkar og sannleikann sem í honum býr. Þegar þú veist hver þú ert og hvers vegna þú ert hér, mun líf þitt vera í flæðandi jafnvægi. Hugleiðslan virkjar þekkinguna sem er í vitund jarðar og færir hana með lífsorkunni inn í líkama okkar. Þar skoðar hún hugsana og hegðunar munstrið og athugar hvort það myndar átakalausu flæðandi jafnvægi. Hinn möguleikinn er falskt jafnvægi sem hafa þarf fyrir að viðhalda með tilheyrandi striti, áhyggjum og ótta. Síðan leiðbeinir þessi þekking okkur að því jafnvægi sem er okkur eðlilegt. Við blómstrum átakalaust, líkt og planta sem vex átakalaut frá fræi í fullþroska plöntu sem ber ávöxt.
Samkvæmt Microsoft, auðkenni viðburða (einnig kölluð viðburðaauðkenni) auðkenna einstakan atburð. Það er tölulegt auðkenni sem er tengt við hvern atburð sem skráður er af Windows stýrikerfinu. Auðkennið gefur upplýsingar um atburðinn sem átti sér stað og hægt er að nota til að bera kennsl á og leysa vandamál sem tengjast kerfisaðgerðum. Atburður, í þessu samhengi, vísar til hvers kyns aðgerða sem framkvæmt er af kerfinu eða notanda á kerfi. Þessa atburði er hægt að skoða á Windows með því að nota Atburðaskoðarann
Atburðakennið 4688 er skráð í hvert skipti sem nýtt ferli er búið til. Það skjalfestir hvert forrit sem keyrt er af vélinni og auðkenningargögn hennar, þar á meðal skaparann, markmiðið og ferlið sem byrjaði það. Nokkrir atburðir eru skráðir undir viðburðakennið 4688. Við innskráningu, Session Manager Subsystem (SMSS.exe) er ræst og atburður 4688 er skráður. Ef kerfi er sýkt af spilliforritum er líklegt að spilliforritið búi til ný ferli til að keyra. Slík ferli yrðu skjalfest undir auðkenni 4688.
Túlka viðburðakenni 4688
Til að túlka atburðakenni 4688 er mikilvægt að skilja mismunandi reiti sem eru í atburðaskránni. Þessa reiti er hægt að nota til að greina hvers kyns óreglu og rekja uppruna ferlis aftur til uppruna þess.
- Efni höfundar: Þessi reitur veitir upplýsingar um notandareikninginn sem bað um stofnun nýs ferlis. Þetta svið veitir samhengi og getur hjálpað réttarrannsóknarmönnum að bera kennsl á frávik. Það inniheldur nokkra undirsvið, þar á meðal:
- Security Identifier (SID)“ Samkvæmt Microsoft, SID er einstakt gildi sem notað er til að auðkenna fjárvörsluaðila. Það er notað til að auðkenna notendur á Windows vélinni.
- Reikningsheiti: SID er leyst til að sýna nafn reikningsins sem hóf stofnun nýja ferlisins.
- Reikningslén: lénið sem tölvan tilheyrir.
- Innskráningarauðkenni: einstakt sextándagildi sem er notað til að auðkenna innskráningarlotu notandans. Það er hægt að nota til að tengja atburði sem innihalda sama atburðakenni.
- Markmið: þessi reitur veitir upplýsingar um notendareikninginn sem ferlið er í gangi undir. Viðfangsefnið sem nefnt er í vinnsluferlinu getur, í sumum kringumstæðum, verið aðgreint frá efninu sem nefnt er í ferlislokunartilvikinu. Svo, þegar skaparinn og markið hafa ekki sama innskráningu, er mikilvægt að hafa markefnið með jafnvel þó að þeir vísi báðir í sama ferli auðkenni. Undirreitirnir eru þeir sömu og viðfangsefni skaparans hér að ofan.
- Process Information: Þessi reitur veitir nákvæmar upplýsingar um búið ferli. Það inniheldur nokkra undirsvið, þar á meðal:
- Nýtt ferli auðkenni (PID): einstakt sextándagildi sem úthlutað er nýja ferlinu. Windows stýrikerfið notar það til að fylgjast með virkum ferlum.
- Nýtt ferlisheiti: öll slóðin og nafnið á keyrsluskránni sem var ræst til að búa til nýja ferlið.
- Táknmatsgerð: auðkennismat er öryggiskerfi sem Windows notar til að ákvarða hvort notendareikningur hafi heimild til að framkvæma ákveðna aðgerð. Tegund táknsins sem ferli mun nota til að biðja um aukin réttindi er kölluð „táknmatsgerðin. Það eru þrjú möguleg gildi fyrir þennan reit. Tegund 1 (%%1936) gefur til kynna að ferlið notar sjálfgefna notandatáknið og hefur ekki beðið um neinar sérstakar heimildir. Fyrir þetta svæði er það algengasta gildið. Tegund 2 (%%1937) gefur til kynna að ferlið óskaði eftir fullum stjórnandaréttindum til að keyra og tókst að fá þau. Þegar notandi keyrir forrit eða ferli sem stjórnandi er það virkt. Tegund 3 (%%1938) gefur til kynna að ferlið hafi aðeins fengið þau réttindi sem krafist er til að framkvæma umbeðna aðgerð, jafnvel þó að það hafi beðið um aukin réttindi.
- Skylda merki: heiðarleikamerki sem er úthlutað ferlinu.
- Creator Process ID: einstakt sextándagildi sem er úthlutað ferlinu sem hóf nýja ferlið.
- Creator Process Name: full slóð og nafn ferlisins sem bjó til nýja ferlið.
- Process Command Line: gefur upplýsingar um rökin sem send eru inn í skipunina til að hefja nýja ferlið. Það inniheldur nokkra undirreiti, þar á meðal núverandi möppu og kjötkássa.
Niðurstaða
Við greiningu á ferli er mikilvægt að ákvarða hvort það sé lögmætt eða illgjarnt. Auðvelt er hægt að bera kennsl á lögmætt ferli með því að skoða höfundarefnið og upplýsingareitina. Auðkenni ferlis er hægt að nota til að bera kennsl á frávik, svo sem að nýtt ferli er sprottið af óvenjulegu foreldraferli. Skipanalínuna er einnig hægt að nota til að sannreyna lögmæti ferlis. Til dæmis getur ferli með rökum sem inniheldur skráarslóð að viðkvæmum gögnum gefið til kynna illgjarn ásetning. Hægt er að nota Creator Subject reitinn til að ákvarða hvort notendareikningurinn sé tengdur grunsamlegri virkni eða hafi aukin réttindi.
Ennfremur er mikilvægt að tengja atburðakenni 4688 við aðra viðeigandi atburði í kerfinu til að fá samhengi um nýstofnað ferlið. Atburðakenni 4688 er hægt að tengja við 5156 til að ákvarða hvort nýja ferlið tengist einhverjum nettengingum. Ef nýja ferlið er tengt við nýuppsetta þjónustu er hægt að tengja atburð 4697 (þjónustuuppsetning) við 4688 til að veita frekari upplýsingar. Atburðakenni 5140 (skráagerð) er einnig hægt að nota til að auðkenna allar nýjar skrár sem eru búnar til með nýja ferlinu.
Að lokum, skilningur á samhengi kerfisins er að ákvarða möguleikana áhrif af ferlinu. Ferli sem er hafið á mikilvægum netþjóni mun líklega hafa meiri áhrif en ferli sem er ræst á sjálfstæðri vél. Samhengi hjálpar til við að stýra rannsókninni, forgangsraða viðbrögðum og stjórna auðlindum. Með því að greina mismunandi svið í atburðaskránni og framkvæma fylgni við aðra atburði er hægt að rekja afbrigðileg ferla til uppruna þeirra og ákvarða orsökina.
