ວິທີການຕີຄວາມໝາຍເຫດການ Windows Security ID 4688 ໃນການສືບສວນ
ການນໍາສະເຫນີ
ອີງຕາມ Microsoft, ID ເຫດການ (ຍັງເອີ້ນວ່າຕົວລະບຸເຫດການ) ລະບຸເຫດການສະເພາະໃດໜຶ່ງ. ມັນເປັນຕົວລະບຸຕົວເລກທີ່ຕິດກັບແຕ່ລະເຫດການທີ່ບັນທຶກໄວ້ໂດຍລະບົບປະຕິບັດການ Windows. ຕົວລະບຸໃຫ້ ຂໍ້ມູນຂ່າວສານ ກ່ຽວກັບເຫດການທີ່ເກີດຂຶ້ນແລະສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດແລະແກ້ໄຂບັນຫາທີ່ກ່ຽວຂ້ອງກັບການດໍາເນີນງານຂອງລະບົບ. ເຫດການໃດຫນຶ່ງ, ໃນສະພາບການນີ້, ຫມາຍເຖິງການດໍາເນີນການໃດໆທີ່ດໍາເນີນໂດຍລະບົບຫຼືຜູ້ໃຊ້ໃນລະບົບ. ເຫດການເຫຼົ່ານີ້ສາມາດເບິ່ງໄດ້ໃນ Windows ໂດຍໃຊ້ Event Viewer
ID ເຫດການ 4688 ຖືກບັນທຶກທຸກຄັ້ງທີ່ຂະບວນການໃໝ່ຖືກສ້າງ. ມັນບັນທຶກແຕ່ລະໂຄງການທີ່ຖືກປະຕິບັດໂດຍເຄື່ອງແລະຂໍ້ມູນການລະບຸຕົວຂອງມັນ, ລວມທັງຜູ້ສ້າງ, ເປົ້າຫມາຍ, ແລະຂະບວນການທີ່ເລີ່ມຕົ້ນມັນ. ຫຼາຍໆເຫດການຖືກບັນທຶກພາຍໃຕ້ລະຫັດເຫດການ 4688. ເມື່ອເຂົ້າສູ່ລະບົບ, ລະບົບຍ່ອຍຂອງ Session Manager (SMSS.exe) ຖືກເປີດຕົວ, ແລະເຫດການ 4688 ຖືກບັນທຶກ. ຖ້າລະບົບຖືກຕິດເຊື້ອໂດຍ malware, malware ມີແນວໂນ້ມທີ່ຈະສ້າງຂະບວນການໃຫມ່ເພື່ອດໍາເນີນການ. ຂະບວນການດັ່ງກ່າວຈະຖືກບັນທຶກໄວ້ພາຍໃຕ້ ID 4688.
ການແປເຫດການ ID 4688
ເພື່ອຕີຄວາມໝາຍເຫດການ ID 4688, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຂົ້າໃຈຊ່ອງຂໍ້ມູນທີ່ແຕກຕ່າງກັນລວມຢູ່ໃນບັນທຶກເຫດການ. ຊ່ອງຂໍ້ມູນເຫຼົ່ານີ້ສາມາດໃຊ້ເພື່ອກວດຫາຄວາມຜິດປົກກະຕິຕ່າງໆ ແລະຕິດຕາມຕົ້ນກຳເນີດຂອງຂະບວນການກັບຄືນຫາແຫຼ່ງທີ່ມາຂອງມັນ.
- ຫົວຂໍ້ຜູ້ສ້າງ: ຊ່ອງຂໍ້ມູນນີ້ໃຫ້ຂໍ້ມູນກ່ຽວກັບບັນຊີຜູ້ໃຊ້ທີ່ຮ້ອງຂໍໃຫ້ມີການສ້າງຂະບວນການໃຫມ່. ຊ່ອງຂໍ້ມູນນີ້ໃຫ້ບໍລິບົດ ແລະສາມາດຊ່ວຍໃຫ້ນັກສືບສວນສອບສວນລະບຸຄວາມຜິດປົກກະຕິໄດ້. ມັນປະກອບມີຫຼາຍຂົງເຂດຍ່ອຍ, ລວມທັງ:
- ຕົວລະບຸຄວາມປອດໄພ (SID)” ອີງຕາມ Microsoft, SID ເປັນມູນຄ່າທີ່ເປັນເອກະລັກທີ່ໃຊ້ເພື່ອກໍານົດຜູ້ເຊື່ອຖື. ມັນຖືກນໍາໃຊ້ເພື່ອກໍານົດຜູ້ໃຊ້ໃນເຄື່ອງ Windows.
- ຊື່ບັນຊີ: SID ຖືກແກ້ໄຂເພື່ອສະແດງຊື່ບັນຊີທີ່ລິເລີ່ມການສ້າງຂະບວນການໃຫມ່.
- ໂດເມນບັນຊີ: ໂດເມນທີ່ຄອມພິວເຕີຂຶ້ນກັບ.
- ID ເຂົ້າສູ່ລະບົບ: ເປັນຄ່າເລກຖານສິບຫົກທີ່ເປັນເອກະລັກທີ່ຖືກນໍາໃຊ້ເພື່ອລະບຸເຊດຊັນການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້. ມັນສາມາດຖືກໃຊ້ເພື່ອເຊື່ອມໂຍງເຫດການທີ່ມີ ID ເຫດການດຽວກັນ.
- ຫົວຂໍ້ເປົ້າຫມາຍ: ພາກສະຫນາມນີ້ສະຫນອງຂໍ້ມູນກ່ຽວກັບບັນຊີຜູ້ໃຊ້ທີ່ຂະບວນການກໍາລັງດໍາເນີນຢູ່. ຫົວຂໍ້ທີ່ໄດ້ກ່າວໄວ້ໃນເຫດການການສ້າງຂະບວນການອາດຈະ, ໃນບາງສະຖານະການ, ແຕກຕ່າງຈາກຫົວຂໍ້ທີ່ໄດ້ກ່າວມາໃນເຫດການການຢຸດເຊົາຂະບວນການ. ດັ່ງນັ້ນ, ເມື່ອຜູ້ສ້າງແລະເປົ້າຫມາຍບໍ່ມີການເຂົ້າສູ່ລະບົບດຽວກັນ, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະລວມເອົາຫົວຂໍ້ເປົ້າຫມາຍເຖິງແມ່ນວ່າພວກເຂົາທັງສອງອ້າງເຖິງ ID ຂະບວນການດຽວກັນ. ຊ່ອງຍ່ອຍແມ່ນຄືກັນກັບຫົວຂໍ້ຂອງຜູ້ສ້າງຂ້າງເທິງ.
- ຂໍ້ມູນຂະບວນການ: ພາກສະຫນາມນີ້ໃຫ້ຂໍ້ມູນລະອຽດກ່ຽວກັບຂະບວນການສ້າງ. ມັນປະກອບມີຫຼາຍຂົງເຂດຍ່ອຍ, ລວມທັງ:
- New Process ID (PID): ຄ່າເລກຖານສິບຫົກທີ່ເປັນເອກະລັກທີ່ມອບໝາຍໃຫ້ກັບຂະບວນການໃໝ່. ລະບົບປະຕິບັດການ Windows ໃຊ້ມັນເພື່ອຕິດຕາມຂະບວນການທີ່ມີການເຄື່ອນໄຫວ.
- ຊື່ຂະບວນການໃຫມ່: ເສັ້ນທາງເຕັມແລະຊື່ຂອງໄຟລ໌ທີ່ປະຕິບັດໄດ້ທີ່ເປີດຕົວເພື່ອສ້າງຂະບວນການໃຫມ່.
- ປະເພດການປະເມີນໂທເຄັນ: ການປະເມີນໂທເຄັນແມ່ນກົນໄກຄວາມປອດໄພທີ່ນຳໃຊ້ໂດຍ Windows ເພື່ອກຳນົດວ່າບັນຊີຜູ້ໃຊ້ໄດ້ຮັບອະນຸຍາດໃຫ້ດຳເນີນການໃດໜຶ່ງຫຼືບໍ່. ປະເພດຂອງ token ຂະບວນການຈະໃຊ້ເພື່ອຮ້ອງຂໍສິດທິພິເສດທີ່ເອີ້ນວ່າ "ປະເພດການປະເມີນ token." ມີສາມຄ່າທີ່ເປັນໄປໄດ້ສໍາລັບຊ່ອງຂໍ້ມູນນີ້. ປະເພດ 1 (%%1936) ສະແດງວ່າຂະບວນການກໍາລັງໃຊ້ໂທເຄັນຜູ້ໃຊ້ເລີ່ມຕົ້ນ ແລະບໍ່ໄດ້ຮ້ອງຂໍການອະນຸຍາດພິເສດໃດໆ. ສໍາລັບພາກສະຫນາມນີ້, ມັນເປັນຄ່າທົ່ວໄປທີ່ສຸດ. ປະເພດ 2 (%%1937) ຫມາຍເຖິງວ່າຂະບວນການໄດ້ຮ້ອງຂໍສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບຢ່າງເຕັມທີ່ເພື່ອດໍາເນີນການແລະປະສົບຜົນສໍາເລັດໃນການໄດ້ຮັບພວກມັນ. ເມື່ອຜູ້ໃຊ້ແລ່ນແອັບພລິເຄຊັນ ຫຼືຂະບວນການເປັນຜູ້ເບິ່ງແຍງລະບົບ, ມັນຖືກເປີດໃຊ້. ປະເພດ 3 (%%1938) ຫມາຍເຖິງວ່າຂະບວນການໄດ້ຮັບພຽງແຕ່ສິດທິທີ່ຕ້ອງການເພື່ອປະຕິບັດການຮ້ອງຂໍ, ເຖິງແມ່ນວ່າມັນຮ້ອງຂໍໃຫ້ມີສິດທິພິເສດ.
- ປ້າຍກຳກັບບັງຄັບ: ປ້າຍກຳກັບຄວາມສົມບູນທີ່ຖືກມອບໝາຍໃຫ້ກັບຂະບວນການ.
- ID ຂະບວນການຜູ້ສ້າງ: ເປັນຄ່າເລກຖານສິບຫົກທີ່ບໍ່ຊໍ້າກັນທີ່ຖືກມອບໝາຍໃຫ້ກັບຂະບວນການທີ່ລິເລີ່ມຂະບວນການໃໝ່.
- ຊື່ຂະບວນການຜູ້ສ້າງ: ເສັ້ນທາງເຕັມແລະຊື່ຂອງຂະບວນການທີ່ສ້າງຂະບວນການໃຫມ່.
- ເສັ້ນຄໍາສັ່ງຂະບວນການ: ສະຫນອງລາຍລະອຽດກ່ຽວກັບການໂຕ້ຖຽງທີ່ຜ່ານເຂົ້າໄປໃນຄໍາສັ່ງເພື່ອເລີ່ມຕົ້ນຂະບວນການໃຫມ່. ມັນປະກອບມີຫຼາຍຊ່ອງຍ່ອຍລວມທັງໄດເລກະທໍລີປະຈຸບັນແລະ hashes.
ສະຫຼຸບ
ເມື່ອວິເຄາະຂະບວນການ, ມັນເປັນສິ່ງ ສຳ ຄັນທີ່ຈະ ກຳ ນົດວ່າມັນຖືກຕ້ອງຫຼືເປັນອັນຕະລາຍ. ຂະບວນການທີ່ຖືກຕ້ອງສາມາດຖືກກໍານົດໄດ້ຢ່າງງ່າຍດາຍໂດຍການເບິ່ງຫົວຂໍ້ຜູ້ສ້າງແລະຂໍ້ມູນຂະບວນການ. ID ຂະບວນການສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດຄວາມຜິດປົກກະຕິເຊັ່ນ: ຂະບວນການໃຫມ່ທີ່ກໍາລັງເກີດມາຈາກຂະບວນການພໍ່ແມ່ທີ່ຜິດປົກກະຕິ. ເສັ້ນຄໍາສັ່ງຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອກວດສອບຄວາມຖືກຕ້ອງຂອງຂະບວນການໃດຫນຶ່ງ. ຕົວຢ່າງ, ຂະບວນການທີ່ມີການໂຕ້ຖຽງທີ່ປະກອບມີເສັ້ນທາງໄຟລ໌ໄປຫາຂໍ້ມູນທີ່ລະອຽດອ່ອນອາດຈະຊີ້ໃຫ້ເຫັນເຖິງຄວາມຕັ້ງໃຈທີ່ເປັນອັນຕະລາຍ. ຊ່ອງຂໍ້ມູນຜູ້ສ້າງສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດວ່າບັນຊີຜູ້ໃຊ້ກ່ຽວຂ້ອງກັບກິດຈະກໍາທີ່ຫນ້າສົງໄສຫຼືມີສິດທິພິເສດ.
ຍິ່ງໄປກວ່ານັ້ນ, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຊື່ອມໂຍງເຫດການ ID 4688 ກັບເຫດການທີ່ກ່ຽວຂ້ອງອື່ນໆໃນລະບົບເພື່ອໃຫ້ມີສະພາບການກ່ຽວກັບຂະບວນການສ້າງໃຫມ່. ID ເຫດການ 4688 ສາມາດພົວພັນກັບ 5156 ເພື່ອກໍານົດວ່າຂະບວນການໃຫມ່ແມ່ນກ່ຽວຂ້ອງກັບການເຊື່ອມຕໍ່ເຄືອຂ່າຍໃດໆ. ຖ້າຂະບວນການໃຫມ່ກ່ຽວຂ້ອງກັບການບໍລິການທີ່ຕິດຕັ້ງໃຫມ່, ເຫດການ 4697 (ການຕິດຕັ້ງບໍລິການ) ສາມາດພົວພັນກັບ 4688 ເພື່ອໃຫ້ຂໍ້ມູນເພີ່ມເຕີມ. ID ເຫດການ 5140 (ການສ້າງໄຟລ໌) ຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດໄຟລ໌ໃຫມ່ທີ່ສ້າງຂຶ້ນໂດຍຂະບວນການໃຫມ່.
ສະຫລຸບລວມແລ້ວ, ຄວາມເຂົ້າໃຈກ່ຽວກັບສະພາບການຂອງລະບົບແມ່ນເພື່ອກໍານົດທ່າແຮງ ຜົນກະທົບ ຂອງຂະບວນການ. ຂະບວນການທີ່ລິເລີ່ມໃນເຊີບເວີທີ່ສໍາຄັນມີແນວໂນ້ມທີ່ຈະມີຜົນກະທົບຫຼາຍກວ່າຫນຶ່ງທີ່ເປີດຕົວໃນເຄື່ອງດຽວ. ບໍລິບົດຊ່ວຍຊີ້ນໍາການສືບສວນ, ຈັດລໍາດັບຄວາມສໍາຄັນຂອງການຕອບສະຫນອງແລະການຄຸ້ມຄອງຊັບພະຍາກອນ. ໂດຍການວິເຄາະຂົງເຂດທີ່ແຕກຕ່າງກັນໃນບັນທຶກເຫດການແລະປະຕິບັດການພົວພັນກັບເຫດການອື່ນໆ, ຂະບວນການຜິດປົກກະຕິສາມາດຕິດຕາມເຖິງຕົ້ນກໍາເນີດແລະສາເຫດທີ່ຖືກກໍານົດ.
