Πώς να ερμηνεύσετε το Αναγνωριστικό συμβάντος ασφαλείας των Windows 4688 σε μια έρευνα

Για να ερμηνεύσετε το αναγνωριστικό συμβάντος 4688, είναι σημαντικό να κατανοήσετε τα διαφορετικά πεδία που περιλαμβάνονται στο αρχείο καταγραφής συμβάντων. Αυτά τα πεδία μπορούν να χρησιμοποιηθούν για τον εντοπισμό τυχόν παρατυπιών και την παρακολούθηση της προέλευσης μιας διεργασίας πίσω στην πηγή της.

• Θέμα Δημιουργού: αυτό το πεδίο παρέχει πληροφορίες σχετικά με τον λογαριασμό χρήστη που ζήτησε τη δημιουργία μιας νέας διαδικασίας. Αυτό το πεδίο παρέχει το πλαίσιο και μπορεί να βοηθήσει τους ιατροδικαστές να εντοπίσουν ανωμαλίες. Περιλαμβάνει πολλά υποπεδία, όπως:

• • Αναγνωριστικό ασφαλείας (SID)» Σύμφωνα με Microsoft, το SID είναι μια μοναδική τιμή που χρησιμοποιείται για τον προσδιορισμό ενός διαχειριστή. Χρησιμοποιείται για την αναγνώριση χρηστών στον υπολογιστή Windows.
  • Όνομα λογαριασμού: το SID επιλύεται για να εμφανίσει το όνομα του λογαριασμού που ξεκίνησε τη δημιουργία της νέας διαδικασίας.
  • Τομέας λογαριασμού: ο τομέας στον οποίο ανήκει ο υπολογιστής.
  • Αναγνωριστικό σύνδεσης: μια μοναδική δεκαεξαδική τιμή που χρησιμοποιείται για τον προσδιορισμό της περιόδου σύνδεσης του χρήστη. Μπορεί να χρησιμοποιηθεί για τη συσχέτιση συμβάντων που περιέχουν το ίδιο αναγνωριστικό συμβάντος.

• Θέμα στόχου: αυτό το πεδίο παρέχει πληροφορίες σχετικά με τον λογαριασμό χρήστη στον οποίο εκτελείται η διαδικασία. Το θέμα που αναφέρεται στο συμβάν δημιουργίας διεργασίας μπορεί, σε ορισμένες περιπτώσεις, να διαφέρει από το θέμα που αναφέρεται στο συμβάν τερματισμού διεργασίας. Έτσι, όταν ο δημιουργός και ο στόχος δεν έχουν την ίδια σύνδεση, είναι σημαντικό να συμπεριλάβετε το θέμα-στόχο, παρόλο που και τα δύο αναφέρονται στο ίδιο αναγνωριστικό διαδικασίας. Τα υποπεδία είναι ίδια με αυτά του θέματος του δημιουργού παραπάνω.
• Πληροφορίες διαδικασίας: αυτό το πεδίο παρέχει λεπτομερείς πληροφορίες σχετικά με τη διαδικασία που δημιουργήθηκε. Περιλαμβάνει πολλά υποπεδία, όπως:

• • Νέο αναγνωριστικό διεργασίας (PID): μια μοναδική δεκαεξαδική τιμή που εκχωρείται στη νέα διεργασία. Το λειτουργικό σύστημα Windows το χρησιμοποιεί για να παρακολουθεί τις ενεργές διεργασίες.
  • Όνομα νέας διεργασίας: η πλήρης διαδρομή και το όνομα του εκτελέσιμου αρχείου που ξεκίνησε για τη δημιουργία της νέας διεργασίας.
  • Τύπος αξιολόγησης διακριτικού: η αξιολόγηση διακριτικού είναι ένας μηχανισμός ασφαλείας που χρησιμοποιείται από τα Windows για να προσδιορίσει εάν ένας λογαριασμός χρήστη είναι εξουσιοδοτημένος να εκτελέσει μια συγκεκριμένη ενέργεια. Ο τύπος διακριτικού που θα χρησιμοποιήσει μια διαδικασία για να ζητήσει αυξημένα προνόμια ονομάζεται "τύπος αξιολόγησης διακριτικού". Υπάρχουν τρεις πιθανές τιμές για αυτό το πεδίο. Ο τύπος 1 (%%1936) υποδηλώνει ότι η διαδικασία χρησιμοποιεί το προεπιλεγμένο διακριτικό χρήστη και δεν έχει ζητήσει ειδικά δικαιώματα. Για αυτό το πεδίο, είναι η πιο κοινή τιμή. Ο τύπος 2 (%%1937) υποδηλώνει ότι η διαδικασία ζήτησε πλήρη δικαιώματα διαχειριστή για εκτέλεση και ήταν επιτυχής στην απόκτησή τους. Όταν ένας χρήστης εκτελεί μια εφαρμογή ή μια διαδικασία ως διαχειριστής, ενεργοποιείται. Ο τύπος 3 (%%1938) υποδηλώνει ότι η διεργασία έλαβε μόνο τα δικαιώματα που απαιτούνται για την εκτέλεση της ζητούμενης ενέργειας, παρόλο που ζήτησε αυξημένα προνόμια.

• • Υποχρεωτική ετικέτα: μια ετικέτα ακεραιότητας που αποδίδεται στη διαδικασία. 
  • Αναγνωριστικό διαδικασίας δημιουργού: μια μοναδική δεκαεξαδική τιμή που εκχωρείται στη διαδικασία που ξεκίνησε τη νέα διαδικασία. 
  • Όνομα διαδικασίας δημιουργού: πλήρης διαδρομή και όνομα της διαδικασίας που δημιούργησε τη νέα διαδικασία.
  • Γραμμή εντολών διεργασίας: παρέχει λεπτομέρειες σχετικά με τα ορίσματα που μεταβιβάζονται στην εντολή για την εκκίνηση της νέας διαδικασίας. Περιλαμβάνει πολλά υποπεδία, συμπεριλαμβανομένου του τρέχοντος καταλόγου και των κατακερματισμών.