विन्डोज सुरक्षा घटना आईडी 4688 अनुसन्धानमा कसरी व्याख्या गर्ने

परिचय

अनुसार माइक्रोसफ्ट, घटना ID हरू (घटना पहिचानकर्ताहरू पनि भनिन्छ) ले एउटा विशेष घटनालाई विशिष्ट रूपमा पहिचान गर्छ। यो विन्डोज अपरेटिङ सिस्टम द्वारा लग गरिएको प्रत्येक घटनामा संलग्न संख्यात्मक पहिचानकर्ता हो। पहिचानकर्ता प्रदान गर्दछ जानकारी घटनाको बारेमा जुन भयो र प्रणाली सञ्चालनसँग सम्बन्धित समस्याहरू पहिचान गर्न र समस्या निवारण गर्न प्रयोग गर्न सकिन्छ। एउटा घटना, यस सन्दर्भमा, प्रणाली वा प्रणालीमा प्रयोगकर्ताद्वारा गरिएको कुनै पनि कार्यलाई जनाउँछ। यी घटनाहरू घटना दर्शक प्रयोग गरेर Windows मा हेर्न सकिन्छ

घटना ID 4688 लग इन हुन्छ जब नयाँ प्रक्रिया सिर्जना हुन्छ। यसले मेसिनद्वारा निष्पादित प्रत्येक कार्यक्रम र यसको पहिचान गर्ने डाटा, सिर्जनाकर्ता, लक्ष्य, र यसलाई सुरु गर्ने प्रक्रिया सहित कागजात गर्दछ। घटना ID 4688 अन्तर्गत धेरै घटनाहरू लगइन गरिएका छन्। लगइन गरेपछि, सत्र प्रबन्धक सबसिस्टम (SMSS.exe) सुरु हुन्छ, र घटना 4688 लगइन हुन्छ। यदि प्रणाली मालवेयरबाट संक्रमित छ भने, मालवेयरले चलाउनको लागि नयाँ प्रक्रियाहरू सिर्जना गर्ने सम्भावना छ। त्यस्ता प्रक्रियाहरू ID 4688 अन्तर्गत दस्तावेज गरिनेछ।

 

AWS मा Ubuntu 20.04 मा Redmine तैनात गर्नुहोस्

घटना ID 4688 को व्याख्या गर्दै

घटना ID 4688 को व्याख्या गर्नको लागि, घटना लगमा समावेश गरिएका विभिन्न क्षेत्रहरू बुझ्न महत्त्वपूर्ण छ। यी क्षेत्रहरू कुनै पनि अनियमितता पत्ता लगाउन र यसको स्रोतमा फिर्ता प्रक्रियाको उत्पत्ति ट्र्याक गर्न प्रयोग गर्न सकिन्छ।

• सिर्जनाकर्ता विषय: यो क्षेत्रले प्रयोगकर्ता खाताको बारेमा जानकारी प्रदान गर्दछ जसले नयाँ प्रक्रिया सिर्जना गर्न अनुरोध गरेको थियो। यो क्षेत्रले सन्दर्भ प्रदान गर्दछ र फोरेन्सिक अन्वेषकहरूलाई विसंगतिहरू पहिचान गर्न मद्दत गर्न सक्छ। यसले धेरै उपक्षेत्रहरू समावेश गर्दछ, जसमा:

• • सुरक्षा पहिचानकर्ता (SID)" अनुसार माइक्रोसफ्ट, SID एक ट्रस्टी पहिचान गर्न प्रयोग गरिने एक अद्वितीय मान हो। यो Windows मेसिनमा प्रयोगकर्ताहरू पहिचान गर्न प्रयोग गरिन्छ।
  • खाता नाम: SID लाई खाताको नाम देखाउन समाधान गरिएको छ जसले नयाँ प्रक्रियाको सिर्जना सुरु गरेको थियो।
  • खाता डोमेन: कम्प्युटर सम्बन्धित डोमेन।
  • लगअन ID: एक अद्वितीय हेक्साडेसिमल मान जुन प्रयोगकर्ताको लगअन सत्र पहिचान गर्न प्रयोग गरिन्छ। यो एउटै घटना ID समावेश घटनाहरू सहसंबद्ध गर्न प्रयोग गर्न सकिन्छ।

• लक्ष्य विषय: यो क्षेत्रले प्रक्रिया अन्तर्गत चलिरहेको प्रयोगकर्ता खाता बारे जानकारी प्रदान गर्दछ। प्रक्रिया सिर्जना घटनामा उल्लेख गरिएको विषय, केहि परिस्थितिहरूमा, प्रक्रिया समाप्ति घटनामा उल्लेख गरिएको विषय भन्दा फरक हुन सक्छ। त्यसोभए, जब सिर्जनाकर्ता र लक्ष्यको एउटै लगअन हुँदैन, लक्ष्य विषय समावेश गर्न महत्त्वपूर्ण छ यद्यपि तिनीहरू दुवैले एउटै प्रक्रिया ID सन्दर्भ गर्छन्। उपक्षेत्रहरू माथिको सिर्जनाकर्ता विषयको जस्तै हुन्।
• प्रक्रिया जानकारी: यो क्षेत्र सिर्जना प्रक्रिया बारे विस्तृत जानकारी प्रदान गर्दछ। यसले धेरै उपक्षेत्रहरू समावेश गर्दछ, जसमा:

• • नयाँ प्रक्रिया ID (PID): नयाँ प्रक्रियामा तोकिएको एक अद्वितीय हेक्साडेसिमल मान। विन्डोज अपरेटिङ सिस्टमले यसलाई सक्रिय प्रक्रियाहरूको ट्रयाक राख्न प्रयोग गर्दछ।
  • नयाँ प्रक्रियाको नाम: नयाँ प्रक्रिया सिर्जना गर्न सुरु गरिएको कार्यान्वयनयोग्य फाइलको पूर्ण मार्ग र नाम।
  • टोकन मूल्याङ्कन प्रकार: टोकन मूल्याङ्कन विन्डोज द्वारा नियोजित एक सुरक्षा संयन्त्र हो कि प्रयोगकर्ता खाता एक विशेष कार्य गर्न को लागी अधिकृत छ कि भनेर निर्धारण गर्न। उन्नत विशेषाधिकारहरू अनुरोध गर्न प्रक्रियाले प्रयोग गर्ने टोकनको प्रकारलाई "टोकन मूल्याङ्कन प्रकार" भनिन्छ। यस क्षेत्रका लागि तीन सम्भावित मानहरू छन्। टाइप 1 (%% 1936) ले प्रक्रियाले पूर्वनिर्धारित प्रयोगकर्ता टोकन प्रयोग गरिरहेको छ र कुनै विशेष अनुमतिहरू अनुरोध गरेको छैन भनी जनाउँछ। यस क्षेत्रको लागि, यो सबैभन्दा सामान्य मान हो। टाइप 2 (%% 1937) ले प्रक्रियाले पूर्ण प्रशासक विशेषाधिकारहरू चलाउन अनुरोध गरेको र तिनीहरूलाई प्राप्त गर्न सफल भएको जनाउँछ। जब प्रयोगकर्ताले प्रशासकको रूपमा अनुप्रयोग वा प्रक्रिया चलाउँछ, यो सक्षम हुन्छ। टाइप 3 (%% 1938) ले अनुरोध गरिएको कार्य पूरा गर्न आवश्यक अधिकारहरू मात्र प्राप्त गरेको जनाउँछ, यद्यपि यसले उच्च विशेषाधिकारहरू अनुरोध गरेको थियो।

• • अनिवार्य लेबल: प्रक्रियामा तोकिएको अखण्डता लेबल। 
  • सिर्जनाकर्ता प्रक्रिया ID: नयाँ प्रक्रिया प्रारम्भ गर्ने प्रक्रियामा तोकिएको एक अद्वितीय हेक्साडेसिमल मान। 
  • सिर्जनाकर्ता प्रक्रिया नाम: नयाँ प्रक्रिया सिर्जना गर्ने प्रक्रियाको पूर्ण मार्ग र नाम।
  • प्रक्रिया आदेश रेखा: नयाँ प्रक्रिया प्रारम्भ गर्न आदेशमा पारित तर्कहरूको बारेमा विवरण प्रदान गर्दछ। यसले हालको डाइरेक्टरी र ह्यासहरू सहित धेरै उपफिल्डहरू समावेश गर्दछ।

Ubuntu 18.04 मा GoPhish फिसिङ प्लेटफर्म AWS मा तैनात गर्नुहोस्

निष्कर्ष

 

प्रक्रियाको विश्लेषण गर्दा, यो वैध वा दुर्भावनापूर्ण छ कि भनेर निर्धारण गर्न महत्त्वपूर्ण छ। सृष्टिकर्ता विषय र प्रक्रिया जानकारी क्षेत्रहरू हेरेर एक वैध प्रक्रिया सजिलै पहिचान गर्न सकिन्छ। प्रक्रिया ID असामान्यताहरू पहिचान गर्न प्रयोग गर्न सकिन्छ, जस्तै नयाँ प्रक्रिया असामान्य अभिभावक प्रक्रियाबाट उत्पन्न हुन्छ। कमाण्ड लाइन पनि प्रक्रियाको वैधता प्रमाणित गर्न प्रयोग गर्न सकिन्छ। उदाहरणका लागि, संवेदनशील डेटामा फाइल मार्ग समावेश गर्ने तर्कसहितको प्रक्रियाले खराब उद्देश्यलाई संकेत गर्न सक्छ। प्रयोगकर्ता खाता संदिग्ध गतिविधिसँग सम्बन्धित छ वा उच्च विशेषाधिकारहरू छन् कि भनेर निर्धारण गर्न सिर्जनाकर्ता विषय क्षेत्र प्रयोग गर्न सकिन्छ। 

यसबाहेक, नयाँ सिर्जना गरिएको प्रक्रियाको बारेमा सन्दर्भ प्राप्त गर्न प्रणालीमा अन्य सान्दर्भिक घटनाहरूसँग घटना ID 4688 सहसंबद्ध गर्न महत्त्वपूर्ण छ। घटना ID 4688 लाई 5156 सँग सहसंबद्ध गर्न सकिन्छ कि नयाँ प्रक्रिया कुनै पनि नेटवर्क जडानहरूसँग सम्बन्धित छ कि छैन भनेर निर्धारण गर्न। यदि नयाँ प्रक्रिया नयाँ स्थापित सेवासँग सम्बन्धित छ भने, घटना 4697 (सेवा स्थापना) थप जानकारी प्रदान गर्न 4688 सँग सहसंबद्ध गर्न सकिन्छ। घटना ID 5140 (फाइल सिर्जना) पनि नयाँ प्रक्रिया द्वारा सिर्जना गरिएको कुनै पनि नयाँ फाइलहरू पहिचान गर्न प्रयोग गर्न सकिन्छ।

निष्कर्षमा, प्रणालीको सन्दर्भ बुझ्ने क्षमता निर्धारण गर्नु हो प्रभाव प्रक्रिया को। क्रिटिकल सर्भरमा सुरु गरिएको प्रक्रियाले स्ट्यान्डअलोन मेसिनमा सुरु गरिएको भन्दा बढी प्रभाव पार्ने सम्भावना हुन्छ। सन्दर्भले अनुसन्धानलाई निर्देशित गर्न, प्रतिक्रियालाई प्राथमिकता दिन र स्रोतहरू व्यवस्थापन गर्न मद्दत गर्छ। घटना लग मा विभिन्न क्षेत्रहरु को विश्लेषण गरेर र अन्य घटनाहरु संग सम्बन्ध प्रदर्शन गरेर, असामान्य प्रक्रियाहरु को उत्पत्ति र कारण निर्धारण गर्न सकिन्छ।