ວິທີການຕີຄວາມໝາຍເຫດການ Windows Security ID 4688 ໃນການສືບສວນ

ການນໍາສະເຫນີ

ອີງ​ຕາມ Microsoft, ID ເຫດການ (ຍັງເອີ້ນວ່າຕົວລະບຸເຫດການ) ລະບຸເຫດການສະເພາະໃດໜຶ່ງ. ມັນເປັນຕົວລະບຸຕົວເລກທີ່ຕິດກັບແຕ່ລະເຫດການທີ່ບັນທຶກໄວ້ໂດຍລະບົບປະຕິບັດການ Windows. ຕົວລະບຸໃຫ້ ຂໍ້ມູນຂ່າວສານ ກ່ຽວກັບເຫດການທີ່ເກີດຂຶ້ນແລະສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດແລະແກ້ໄຂບັນຫາທີ່ກ່ຽວຂ້ອງກັບການດໍາເນີນງານຂອງລະບົບ. ເຫດການໃດຫນຶ່ງ, ໃນສະພາບການນີ້, ຫມາຍເຖິງການດໍາເນີນການໃດໆທີ່ດໍາເນີນໂດຍລະບົບຫຼືຜູ້ໃຊ້ໃນລະບົບ. ເຫດການເຫຼົ່ານີ້ສາມາດເບິ່ງໄດ້ໃນ Windows ໂດຍໃຊ້ Event Viewer

ID ເຫດການ 4688 ຖືກບັນທຶກທຸກຄັ້ງທີ່ຂະບວນການໃໝ່ຖືກສ້າງ. ມັນບັນທຶກແຕ່ລະໂຄງການທີ່ຖືກປະຕິບັດໂດຍເຄື່ອງແລະຂໍ້ມູນການລະບຸຕົວຂອງມັນ, ລວມທັງຜູ້ສ້າງ, ເປົ້າຫມາຍ, ແລະຂະບວນການທີ່ເລີ່ມຕົ້ນມັນ. ຫຼາຍໆເຫດການຖືກບັນທຶກພາຍໃຕ້ ID ເຫດການ 4688. ເມື່ອເຂົ້າສູ່ລະບົບ, ລະບົບຍ່ອຍ Session Manager (SMSS.exe) ຈະຖືກເປີດໃຊ້, ແລະເຫດການ 4688 ຖືກບັນທຶກ. ຖ້າລະບົບຖືກຕິດເຊື້ອໂດຍ malware, malware ມີແນວໂນ້ມທີ່ຈະສ້າງຂະບວນການໃຫມ່ເພື່ອດໍາເນີນການ. ຂະບວນການດັ່ງກ່າວຈະຖືກບັນທຶກໄວ້ພາຍໃຕ້ ID 4688.

 

ນຳໃຊ້ Redmine ໃນ Ubuntu 20.04 ເທິງ AWS

ການແປເຫດການ ID 4688

ເພື່ອຕີຄວາມໝາຍເຫດການ ID 4688, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຂົ້າໃຈຊ່ອງຂໍ້ມູນທີ່ແຕກຕ່າງກັນລວມຢູ່ໃນບັນທຶກເຫດການ. ຊ່ອງຂໍ້ມູນເຫຼົ່ານີ້ສາມາດໃຊ້ເພື່ອກວດຫາຄວາມຜິດປົກກະຕິຕ່າງໆ ແລະຕິດຕາມຕົ້ນກຳເນີດຂອງຂະບວນການກັບຄືນຫາແຫຼ່ງທີ່ມາຂອງມັນ.

• ຫົວຂໍ້ຜູ້ສ້າງ: ຊ່ອງຂໍ້ມູນນີ້ໃຫ້ຂໍ້ມູນກ່ຽວກັບບັນຊີຜູ້ໃຊ້ທີ່ຮ້ອງຂໍໃຫ້ມີການສ້າງຂະບວນການໃຫມ່. ຊ່ອງຂໍ້ມູນນີ້ໃຫ້ບໍລິບົດ ແລະສາມາດຊ່ວຍໃຫ້ນັກສືບສວນສອບສວນລະບຸຄວາມຜິດປົກກະຕິໄດ້. ມັນປະກອບມີຫຼາຍຂົງເຂດຍ່ອຍ, ລວມທັງ:

• • ຕົວລະບຸຄວາມປອດໄພ (SID)” ອີງຕາມ Microsoft, SID ເປັນມູນຄ່າທີ່ເປັນເອກະລັກທີ່ໃຊ້ເພື່ອກໍານົດຜູ້ເຊື່ອຖື. ມັນຖືກນໍາໃຊ້ເພື່ອກໍານົດຜູ້ໃຊ້ໃນເຄື່ອງ Windows.
  • ຊື່ບັນຊີ: SID ຖືກແກ້ໄຂເພື່ອສະແດງຊື່ບັນຊີທີ່ລິເລີ່ມການສ້າງຂະບວນການໃຫມ່.
  • ໂດເມນບັນຊີ: ໂດເມນທີ່ຄອມພິວເຕີຂຶ້ນກັບ.
  • ID ເຂົ້າສູ່ລະບົບ: ເປັນຄ່າເລກຖານສິບຫົກທີ່ເປັນເອກະລັກທີ່ຖືກນໍາໃຊ້ເພື່ອລະບຸເຊດຊັນການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້. ມັນສາມາດຖືກໃຊ້ເພື່ອເຊື່ອມໂຍງເຫດການທີ່ມີ ID ເຫດການດຽວກັນ.

• ຫົວຂໍ້ເປົ້າຫມາຍ: ພາກສະຫນາມນີ້ສະຫນອງຂໍ້ມູນກ່ຽວກັບບັນຊີຜູ້ໃຊ້ທີ່ຂະບວນການກໍາລັງດໍາເນີນຢູ່. ຫົວຂໍ້ທີ່ໄດ້ກ່າວໄວ້ໃນເຫດການການສ້າງຂະບວນການອາດຈະ, ໃນບາງສະຖານະການ, ແຕກຕ່າງຈາກຫົວຂໍ້ທີ່ໄດ້ກ່າວມາໃນເຫດການການຢຸດເຊົາຂະບວນການ. ດັ່ງນັ້ນ, ເມື່ອຜູ້ສ້າງແລະເປົ້າຫມາຍບໍ່ມີການເຂົ້າສູ່ລະບົບດຽວກັນ, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະລວມເອົາຫົວຂໍ້ເປົ້າຫມາຍເຖິງແມ່ນວ່າພວກເຂົາທັງສອງອ້າງເຖິງ ID ຂະບວນການດຽວກັນ. ຊ່ອງຍ່ອຍແມ່ນຄືກັນກັບຫົວຂໍ້ຂອງຜູ້ສ້າງຂ້າງເທິງ.
• ຂໍ້ມູນຂະບວນການ: ພາກສະຫນາມນີ້ໃຫ້ຂໍ້ມູນລະອຽດກ່ຽວກັບຂະບວນການສ້າງ. ມັນປະກອບມີຫຼາຍຂົງເຂດຍ່ອຍ, ລວມທັງ:

• • New Process ID (PID): ຄ່າເລກຖານສິບຫົກທີ່ເປັນເອກະລັກທີ່ມອບໝາຍໃຫ້ກັບຂະບວນການໃໝ່. ລະບົບປະຕິບັດການ Windows ໃຊ້ມັນເພື່ອຕິດຕາມຂະບວນການທີ່ມີການເຄື່ອນໄຫວ.
  • ຊື່ຂະບວນການໃຫມ່: ເສັ້ນທາງເຕັມແລະຊື່ຂອງໄຟລ໌ທີ່ປະຕິບັດໄດ້ທີ່ເປີດຕົວເພື່ອສ້າງຂະບວນການໃຫມ່.
  • ປະເພດການປະເມີນໂທເຄັນ: ການປະເມີນໂທເຄັນແມ່ນກົນໄກຄວາມປອດໄພທີ່ນຳໃຊ້ໂດຍ Windows ເພື່ອກຳນົດວ່າບັນຊີຜູ້ໃຊ້ໄດ້ຮັບອະນຸຍາດໃຫ້ດຳເນີນການໃດໜຶ່ງຫຼືບໍ່. ປະເພດຂອງ token ຂະບວນການຈະໃຊ້ເພື່ອຮ້ອງຂໍສິດທິພິເສດທີ່ເອີ້ນວ່າ "ປະເພດການປະເມີນ token." ມີສາມຄ່າທີ່ເປັນໄປໄດ້ສໍາລັບຊ່ອງຂໍ້ມູນນີ້. ປະເພດ 1 (%%1936) ສະແດງວ່າຂະບວນການກໍາລັງໃຊ້ໂທເຄັນຜູ້ໃຊ້ເລີ່ມຕົ້ນ ແລະບໍ່ໄດ້ຮ້ອງຂໍການອະນຸຍາດພິເສດໃດໆ. ສໍາລັບພາກສະຫນາມນີ້, ມັນເປັນຄ່າທົ່ວໄປທີ່ສຸດ. ປະເພດ 2 (%%1937) ຫມາຍເຖິງວ່າຂະບວນການໄດ້ຮ້ອງຂໍສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບຢ່າງເຕັມທີ່ເພື່ອດໍາເນີນການແລະປະສົບຜົນສໍາເລັດໃນການໄດ້ຮັບພວກມັນ. ເມື່ອຜູ້ໃຊ້ແລ່ນແອັບພລິເຄຊັນ ຫຼືຂະບວນການເປັນຜູ້ເບິ່ງແຍງລະບົບ, ມັນຖືກເປີດໃຊ້. ປະເພດ 3 (%%1938) ຫມາຍເຖິງວ່າຂະບວນການໄດ້ຮັບພຽງແຕ່ສິດທິທີ່ຕ້ອງການເພື່ອປະຕິບັດການຮ້ອງຂໍ, ເຖິງແມ່ນວ່າມັນຮ້ອງຂໍໃຫ້ມີສິດທິພິເສດ.

• • ປ້າຍກຳກັບບັງຄັບ: ປ້າຍກຳກັບຄວາມສົມບູນທີ່ຖືກມອບໝາຍໃຫ້ກັບຂະບວນການ. 
  • ID ຂະບວນການຜູ້ສ້າງ: ເປັນຄ່າເລກຖານສິບຫົກທີ່ບໍ່ຊໍ້າກັນທີ່ຖືກມອບໝາຍໃຫ້ກັບຂະບວນການທີ່ລິເລີ່ມຂະບວນການໃໝ່. 
  • ຊື່ຂະບວນການຜູ້ສ້າງ: ເສັ້ນທາງເຕັມແລະຊື່ຂອງຂະບວນການທີ່ສ້າງຂະບວນການໃຫມ່.
  • ເສັ້ນຄໍາສັ່ງຂະບວນການ: ສະຫນອງລາຍລະອຽດກ່ຽວກັບການໂຕ້ຖຽງທີ່ຜ່ານເຂົ້າໄປໃນຄໍາສັ່ງເພື່ອເລີ່ມຕົ້ນຂະບວນການໃຫມ່. ມັນປະກອບມີຫຼາຍຊ່ອງຍ່ອຍລວມທັງໄດເລກະທໍລີປະຈຸບັນແລະ hashes.

ນຳໃຊ້ GoPhish Phishing Platform ໃນ Ubuntu 18.04 ເຂົ້າໄປໃນ AWS

ສະຫຼຸບ

 

ເມື່ອວິເຄາະຂະບວນການ, ມັນເປັນສິ່ງ ສຳ ຄັນທີ່ຈະ ກຳ ນົດວ່າມັນຖືກຕ້ອງຫຼືເປັນອັນຕະລາຍ. ຂະບວນການທີ່ຖືກຕ້ອງສາມາດຖືກກໍານົດໄດ້ຢ່າງງ່າຍດາຍໂດຍການເບິ່ງຫົວຂໍ້ຜູ້ສ້າງແລະຂໍ້ມູນຂະບວນການ. ID ຂະບວນການສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດຄວາມຜິດປົກກະຕິເຊັ່ນ: ຂະບວນການໃຫມ່ທີ່ກໍາລັງເກີດມາຈາກຂະບວນການພໍ່ແມ່ທີ່ຜິດປົກກະຕິ. ເສັ້ນຄໍາສັ່ງຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອກວດສອບຄວາມຖືກຕ້ອງຂອງຂະບວນການໃດຫນຶ່ງ. ຕົວຢ່າງ, ຂະບວນການທີ່ມີການໂຕ້ຖຽງທີ່ປະກອບມີເສັ້ນທາງໄຟລ໌ໄປຫາຂໍ້ມູນທີ່ລະອຽດອ່ອນອາດຈະຊີ້ໃຫ້ເຫັນເຖິງຄວາມຕັ້ງໃຈທີ່ເປັນອັນຕະລາຍ. ຊ່ອງຂໍ້ມູນຜູ້ສ້າງສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດວ່າບັນຊີຜູ້ໃຊ້ກ່ຽວຂ້ອງກັບກິດຈະກໍາທີ່ຫນ້າສົງໄສຫຼືມີສິດທິພິເສດ. 

ຍິ່ງໄປກວ່ານັ້ນ, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຊື່ອມໂຍງເຫດການ ID 4688 ກັບເຫດການທີ່ກ່ຽວຂ້ອງອື່ນໆໃນລະບົບເພື່ອໃຫ້ມີສະພາບການກ່ຽວກັບຂະບວນການສ້າງໃຫມ່. ID ເຫດການ 4688 ສາມາດພົວພັນກັບ 5156 ເພື່ອກໍານົດວ່າຂະບວນການໃຫມ່ແມ່ນກ່ຽວຂ້ອງກັບການເຊື່ອມຕໍ່ເຄືອຂ່າຍໃດໆ. ຖ້າຂະບວນການໃຫມ່ກ່ຽວຂ້ອງກັບການບໍລິການທີ່ຕິດຕັ້ງໃຫມ່, ເຫດການ 4697 (ການຕິດຕັ້ງບໍລິການ) ສາມາດພົວພັນກັບ 4688 ເພື່ອໃຫ້ຂໍ້ມູນເພີ່ມເຕີມ. ID ເຫດການ 5140 (ການສ້າງໄຟລ໌) ຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດໄຟລ໌ໃຫມ່ທີ່ສ້າງຂຶ້ນໂດຍຂະບວນການໃຫມ່.

ສະຫລຸບລວມແລ້ວ, ຄວາມເຂົ້າໃຈກ່ຽວກັບສະພາບການຂອງລະບົບແມ່ນເພື່ອກໍານົດທ່າແຮງ ຜົນກະທົບ ຂອງຂະບວນການ. ຂະບວນການທີ່ລິເລີ່ມໃນເຊີບເວີທີ່ສໍາຄັນມີແນວໂນ້ມທີ່ຈະມີຜົນກະທົບຫຼາຍກວ່າຫນຶ່ງທີ່ເປີດຕົວໃນເຄື່ອງດຽວ. ບໍລິບົດຊ່ວຍຊີ້ນໍາການສືບສວນ, ຈັດລໍາດັບຄວາມສໍາຄັນຂອງການຕອບສະຫນອງແລະການຄຸ້ມຄອງຊັບພະຍາກອນ. ໂດຍການວິເຄາະຂົງເຂດທີ່ແຕກຕ່າງກັນໃນບັນທຶກເຫດການແລະປະຕິບັດການພົວພັນກັບເຫດການອື່ນໆ, ຂະບວນການຜິດປົກກະຕິສາມາດຕິດຕາມເຖິງຕົ້ນກໍາເນີດແລະສາເຫດທີ່ຖືກກໍານົດ.