Чӣ тавр шарҳ додани ҳодисаи амнияти Windows ID 4688 дар тафтишот

Муқаддима

Бино бар Microsoft, ID-ҳои ҳодиса (инчунин идентификаторҳои ҳодиса номида мешаванд) воқеаи мушаххасро ба таври беназир муайян мекунанд. Ин идентификатори ададӣ аст, ки ба ҳар як ҳодисае, ки аз ҷониби системаи оператсионии Windows сабт шудааст, замима карда мешавад. Идентификатор таъмин менамояд маълумот дар бораи ҳодисае, ки рух дод ва метавонад барои муайян ва бартараф кардани мушкилоти марбут ба амалиёти система истифода шавад. Ҳодиса, дар ин замина, ба ҳама амале, ки система ё корбар дар система иҷро мекунад, ишора мекунад. Ин рӯйдодҳоро дар Windows бо истифода аз намоишгари рӯйдодҳо дидан мумкин аст

Ҳодиса ID 4688 ҳар вақте ки раванди нав эҷод мешавад, сабт карда мешавад. Он ҳар як барномаи аз ҷониби мошин иҷрошуда ва маълумоти муайянкунандаи он, аз ҷумла созанда, ҳадаф ва равандеро, ки онро оғоз кардааст, ҳуҷҷатгузорӣ мекунад. Якчанд рӯйдодҳо зери ID 4688 сабт карда мешаванд. Ҳангоми ворид шудан, зерсистемаи менеҷери сессия (SMSS.exe) оғоз мешавад ва ҳодисаи 4688 сабт мешавад. Агар система бо нармафзори зараровар сироят ёбад, эҳтимол дорад, ки нармафзори зараровар равандҳои навро барои иҷро эҷод кунад. Чунин равандҳо зери ID 4688 ҳуҷҷатгузорӣ карда мешаванд.

 

Redmine-ро дар Ubuntu 20.04 дар AWS ҷойгир кунед

Тарҷумаи ҳодиса ID 4688

Барои тафсири рӯйдодҳои ID 4688, фаҳмидани майдонҳои мухталифе, ки ба гузориши рӯйдодҳо дохил мешаванд, муҳим аст. Ин майдонҳоро барои ошкор кардани ҳама гуна вайронкуниҳо ва пайгирии пайдоиши раванд ба манбаи он истифода бурдан мумкин аст.

• Мавзӯи эҷодкор: ин майдон маълумотро дар бораи ҳисоби корбаре пешниҳод мекунад, ки эҷоди раванди навро дархост кардааст. Ин соҳа контекстро фароҳам меорад ва метавонад ба муфаттишони криминалистӣ дар муайян кардани аномалияҳо кӯмак расонад. Он якчанд зерсоҳаҳоро дар бар мегирад, аз ҷумла:

• • Идентификатори амният (SID)" Мувофиқи Microsoft, SID арзиши беназирест, ки барои муайян кардани шахси боваринок истифода мешавад. Он барои муайян кардани корбарон дар мошини Windows истифода мешавад.
  • Номи ҳисоб: SID барои нишон додани номи ҳисобе, ки эҷоди раванди навро оғоз кардааст, ҳал карда мешавад.
  • Домени ҳисоб: домене, ки компютер ба он тааллуқ дорад.
  • ID-и воридшавӣ: арзиши беназири шонздаҳӣ, ки барои муайян кардани сессияи воридшавии корбар истифода мешавад. Он метавонад барои муқоисаи рӯйдодҳое истифода шавад, ки як ID-и ҳодисаро дар бар мегиранд.

• Мавзӯи мақсаднок: ин майдон маълумотро дар бораи ҳисоби корбаре, ки раванд дар зери он иҷро мешавад, таъмин мекунад. Мавзӯи дар ҳодисаи эҷоди раванд зикршуда метавонад дар баъзе ҳолатҳо аз мавзӯъе, ки дар ҳодисаи қатъи раванд зикр шудааст, фарқ кунад. Ҳамин тавр, вақте ки эҷодкунанда ва ҳадаф як воридшавӣ надоранд, муҳим аст, ки мавзӯи ҳадафро дохил кунед, гарчанде ки ҳардуи онҳо ба ID-и як раванд ишора мекунанд. Зермайдонҳо ҳамон як мавзӯъи эҷодкунандаи боло мебошанд.
• Маълумот дар бораи раванд: ин майдон маълумоти муфассалро дар бораи раванди сохташуда медиҳад. Он якчанд зерсоҳаҳоро дар бар мегирад, аз ҷумла:

• • ID Process New (PID): арзиши беназири шонздаҳӣ, ки ба раванди нав таъин шудааст. Системаи оператсионии Windows онро барои пайгирии равандҳои фаъол истифода мебарад.
  • Номи раванди нав: роҳ ва номи пурраи файли иҷрошаванда, ки барои эҷоди раванди нав оғоз шудааст.
  • Навъи арзёбии нишонаҳо: арзёбии нишона як механизми амниятест, ки аз ҷониби Windows истифода мешавад, то муайян кунад, ки оё ҳисоби корбар барои иҷрои амали мушаххас ваколатдор аст ё не. Навъи аломате, ки раванд барои дархости имтиёзҳои баланд истифода мешавад, "навъи арзёбии токен" номида мешавад. Барои ин майдон се арзиши имконпазир вуҷуд дорад. Навъи 1 (%%1936) маънои онро дорад, ки раванд нишонаи корбари пешфарзро истифода мебарад ва ҳеҷ гуна иҷозати махсусро дархост накардааст. Барои ин соҳа арзиши маъмултарин аст. Навъи 2 (%%1937) маънои онро дорад, ки раванд барои иҷро кардани имтиёзҳои мукаммали администратор дархост кардааст ва дар ба даст овардани онҳо муваффақ шудааст. Вақте ки корбар барнома ё равандро ҳамчун администратор иҷро мекунад, он фаъол мешавад. Навъи 3 (%% 1938) маънои онро дорад, ки раванд танҳо ҳуқуқҳоеро, ки барои иҷрои амали дархостшуда заруранд, гирифтааст, гарчанде ки он имтиёзҳои баландро талаб мекард.

• • Нишони ҳатмӣ: тамғаи беайбии ба раванд таъиншуда. 
  • Раванди ID-и эҷодкунанда: арзиши беназири шонздаҳӣ ба раванде, ки раванди навро оғоз кардааст, таъин шудааст. 
  • Номи раванди эҷодкор: роҳи пурра ва номи раванде, ки раванди навро эҷод кардааст.
  • Хатти фармони раванд: тафсилотро дар бораи далелҳое, ки ба фармон барои оғози раванди нав интиқол дода шудаанд, таъмин мекунад. Он якчанд зермайдонҳоро дар бар мегирад, аз ҷумла феҳристи ҷорӣ ва хэшҳо.

Платформаи фишинги GoPhish -ро дар Ubuntu 18.04 дар AWS ҷойгир кунед

хулоса

 

Ҳангоми таҳлили раванд муайян кардани он, ки он қонунӣ ё зараровар аст, муҳим аст. Раванди қонуниро тавассути дидани мавзӯъи созанда ва майдонҳои иттилооти коркард ба осонӣ муайян кардан мумкин аст. Раванди ID-ро барои муайян кардани аномалияҳо истифода бурдан мумкин аст, ба монанди раванди наве, ки аз раванди ғайриоддии волидайн тавлид мешавад. Сатри фармонро инчунин метавонад барои санҷиши қонунӣ будани раванд истифода кард. Масалан, раванде бо далелҳо, ки роҳи файлро ба маълумоти ҳассос дар бар мегирад, метавонад нияти зарароварро нишон диҳад. Майдони Мавзӯи Эҷодкор метавонад барои муайян кардани он, ки ҳисоби корбар бо фаъолияти шубҳанок алоқаманд аст ё имтиёзҳои баланд дорад, истифода шавад. 

Ғайр аз он, муҳим аст, ки ҳодисаи ID 4688-ро бо дигар рӯйдодҳои дахлдори система ба даст оред, то контекст дар бораи раванди навтаъсис ҳосил шавад. Ҳодиса ID 4688 метавонад бо 5156 алоқаманд бошад, то муайян кунад, ки раванди нав бо ҳама гуна пайвастҳои шабакавӣ алоқаманд аст. Агар раванди нав бо хидмати нав насбшуда алоқаманд бошад, ҳодисаи 4697 (насби хидмат) метавонад бо 4688 алоқаманд бошад, то маълумоти иловагӣ диҳад. Ҳодиса ID 5140 (офариниши файл) инчунин метавонад барои муайян кардани ҳама гуна файлҳои наве, ки тавассути раванди нав сохта шудааст, истифода шавад.

Хулоса, фаҳмидани контексти система муайян кардани потенсиал мебошад таъсири аз процесс. Раванде, ки дар сервери муҳим оғоз мешавад, эҳтимолан назар ба он ки дар мошини мустақил оғоз шудааст, таъсири бештаре дошта бошад. Контекст кӯмак мекунад, ки тафтишотро роҳнамоӣ кунад, вокуниш нишон диҳад ва захираҳоро идора кунад. Бо таҳлили соҳаҳои гуногуни сабти рӯйдодҳо ва иҷрои коррелятсия бо рӯйдодҳои дигар, равандҳои аномалияро метавон ба пайдоиши онҳо ва муайян кардани сабаб пайгирӣ кард.