Mar a mhìnicheas tu tachartas tèarainteachd Windows ID 4688 ann an sgrùdadh

12 bho chionn mhìos

Mar a mhìnicheas tu tachartas tèarainteachd Windows ID 4688 ann an sgrùdadh

Ro-ràdh

A rèir Microsoft, IDan tachartais (ris an canar cuideachd aithnichearan tachartais) gu sònraichte a’ comharrachadh tachartas sònraichte. Is e aithnichear àireamhach a th’ ann a tha ceangailte ri gach tachartas air a chlàradh le siostam-obrachaidh Windows. Tha an aithnichear a’ toirt seachad fiosrachadh mun tachartas a thachair agus faodar a chleachdadh gus duilgheadasan co-cheangailte ri gnìomhachd siostam a chomharrachadh agus fhuasgladh. Tha tachartas, sa cho-theacsa seo, a’ toirt iomradh air gnìomh sam bith a nì an siostam no neach-cleachdaidh air siostam. Faodar na tachartasan sin fhaicinn air Windows a’ cleachdadh an Event Viewer

Thèid an tachartas ID 4688 a chlàradh nuair a thèid pròiseas ùr a chruthachadh. Bidh e a’ clàradh gach prògram a chuir an inneal gu bàs agus an dàta aithneachaidh aige, a’ toirt a-steach an neach-cruthachaidh, an targaid, agus am pròiseas a thòisich e. Tha grunn thachartasan air an clàradh fo ID an tachartais 4688. Nuair a thèid thu a-steach, thèid Fo-shiostam Manaidsear Seisean (SMSS.exe) a chuir air bhog, agus tha tachartas 4688 air a chlàradh. Ma tha siostam air a ghlacadh le malware, tha coltas ann gun cruthaich an malware pròiseasan ùra airson ruith. Bhiodh pròiseasan mar seo air an clàradh fo ID 4688.

Cleachd Redmine air Ubuntu 20.04 air AWS

Ag eadar-mhìneachadh ID Tachartas 4688

Gus tachartas ID 4688 a mhìneachadh, tha e cudromach tuigsinn na diofar raointean a tha ann an log an tachartais. Faodar na raointean sin a chleachdadh gus neo-riaghailteachdan sam bith a lorg agus lorg a dhèanamh air tùs pròiseas air ais chun stòr aige.

Cuspair an neach-cruthachaidh: tha an raon seo a’ toirt seachad fiosrachadh mun chunntas cleachdaiche a dh’ iarr gun cruthaichear pròiseas ùr. Tha an raon seo a’ toirt seachad co-theacsa agus cuidichidh e luchd-sgrùdaidh forensic gus neo-riaghailteachdan aithneachadh. Tha e a’ toirt a-steach grunn fo-raointean, nam measg:

- Aithniche Tèarainteachd (SID)" a rèir Microsoft, tha an SID na luach sònraichte air a chleachdadh gus urrasair aithneachadh. Tha e air a chleachdadh gus luchd-cleachdaidh a chomharrachadh air inneal Windows.
- Ainm a 'Chunntais: tha an SID air a rèiteachadh gus ainm a' chunntais a chuir air adhart cruthachadh a 'phròiseas ùr a shealltainn.
- Fearann Cunntais: an àrainn leis a bheil an coimpiutair.
- ID logaidh: luach sia-thaobhach sònraichte a thathas a’ cleachdadh gus seisean logaidh a-steach an neach-cleachdaidh a chomharrachadh. Faodar a chleachdadh gus tachartasan anns a bheil an aon ID tachartais a cho-cheangal.

Cuspair Targaid: tha an raon seo a 'toirt seachad fiosrachadh mun chunntas cleachdaiche a tha am pròiseas a' ruith. Faodaidh an cuspair a tha air ainmeachadh anns an tachartas cruthachaidh pròiseas, ann an cuid de shuidheachaidhean, a bhith eadar-dhealaichte bhon chuspair a chaidh ainmeachadh anns an tachartas crìochnachaidh pròiseas. Mar sin, nuair nach eil an aon logadh aig an neach-cruthachaidh agus an targaid, tha e cudromach an cuspair targaid a thoirt a-steach ged a tha iad le chèile a’ toirt iomradh air an aon ID pròiseas. Tha na subfields an aon rud ris a’ chuspair cruthachaidh gu h-àrd.
Fiosrachadh Pròiseas: tha an raon seo a’ toirt seachad fiosrachadh mionaideach mun phròiseas a chaidh a chruthachadh. Tha e a’ toirt a-steach grunn fo-raointean, nam measg:

- ID Pròiseas Ùr (PID): luach hexadecimal sònraichte air a shònrachadh don phròiseas ùr. Bidh siostam-obrachaidh Windows ga chleachdadh gus sùil a chumail air pròiseasan gnìomhach.
- Ainm Pròiseas Ùr: slighe iomlan agus ainm an fhaidhle so-ghnìomhaichte a chaidh a chuir air bhog gus am pròiseas ùr a chruthachadh.
- Seòrsa Measaidh Token: Is e inneal tèarainteachd a th’ ann am measadh tòcan air a chleachdadh le Windows gus faighinn a-mach a bheil ùghdarras aig cunntas cleachdaiche gnìomh sònraichte a dhèanamh. Canar “seòrsa measaidh tòcan” ris an t-seòrsa comharra a chleachdas pròiseas gus sochairean àrdaichte iarraidh. Tha trì luachan comasach airson an raon seo. Tha Seòrsa 1 (%%1936) a’ ciallachadh gu bheil am pròiseas a’ cleachdadh an tòcan cleachdaiche bunaiteach agus nach do dh’ iarr e cead sònraichte sam bith. Airson an raon seo, is e an luach as cumanta. Tha Seòrsa 2 (%%1937) a’ ciallachadh gun do dh’ iarr am pròiseas làn shochairean rianaire a ruith agus gun do shoirbhich leis le bhith gan faighinn. Nuair a ruitheas neach-cleachdaidh tagradh no pròiseas mar rianadair, tha e comasach. Tha Seòrsa 3 (%%1938) a’ comharrachadh nach d’ fhuair am pròiseas ach na còraichean a dh’ fheumar gus an gnìomh a chaidh iarraidh a choileanadh, ged a dh’ iarr e sochairean àrdaichte.

- Bileag èigneachail: bileag ionracas air a shònrachadh don phròiseas.
- ID Pròiseas Cruthaiche: luach sia-thaobhach sònraichte air a shònrachadh don phròiseas a thòisich am pròiseas ùr.
- Ainm Pròiseas Cruthaiche: slighe slàn agus ainm a 'phròiseis a chruthaich am pròiseas ùr.
- Loidhne-àithne Pròiseas: a’ toirt seachad mion-fhiosrachadh mu na h-argamaidean a chaidh a chur a-steach don àithne gus am pròiseas ùr a thòiseachadh. Tha e a’ toirt a-steach grunn fo-raointean a’ toirt a-steach an eòlaire gnàthach agus hashes.

Cuir an àrd-ùrlar GoPhish Phishing air Ubuntu 18.04 a-steach gu AWS

Co-dhùnadh

Nuair a thathar a’ dèanamh anailis air pròiseas, tha e deatamach dearbhadh a bheil e dligheach no droch-rùnach. Faodar pròiseas dligheach aithneachadh gu furasta le bhith a’ coimhead air cuspair an neach-cruthachaidh agus raointean fiosrachaidh pròiseas. Faodar ID pròiseas a chleachdadh gus neo-riaghailteachdan a chomharrachadh, leithid pròiseas ùr ga shìolachadh bho phròiseas pàrant neo-àbhaisteach. Faodar an loidhne-àithne a chleachdadh cuideachd gus dligheachd pròiseas a dhearbhadh. Mar eisimpleir, faodaidh pròiseas le argamaidean a tha a’ toirt a-steach slighe faidhle gu dàta mothachail a bhith a’ nochdadh rùn droch-rùnach. Faodar raon Cuspair an Cruthaiche a chleachdadh gus faighinn a-mach a bheil an cunntas cleachdaiche co-cheangailte ri gnìomhachd amharasach no a bheil sochairean àrdaichte ann.

A bharrachd air an sin, tha e cudromach tachartas ID 4688 a cho-cheangal ri tachartasan buntainneach eile san t-siostam gus co-theacsa fhaighinn mun phròiseas a chaidh a chruthachadh às ùr. Faodar ID Tachartas 4688 a cheangal ri 5156 gus faighinn a-mach a bheil am pròiseas ùr co-cheangailte ri ceanglaichean lìonra sam bith. Ma tha am pròiseas ùr co-cheangailte ri seirbheis a chaidh a chuir a-steach às ùr, faodar tachartas 4697 (stàladh seirbheis) a cheangal ri 4688 gus fiosrachadh a bharrachd a thoirt seachad. Faodar ID Tachartas 5140 (cruthachadh faidhle) a chleachdadh cuideachd gus faidhlichean ùra sam bith a chruthaich am pròiseas ùr a chomharrachadh.

Ann an co-dhùnadh, tha tuigse air co-theacsa an t-siostaim airson a bhith a’ dearbhadh a’ chomas buaidh den phròiseas. Tha e coltach gum bi buaidh nas motha aig pròiseas a thèid a thòiseachadh air frithealaiche èiginneach na aon a chaidh a chuir air bhog air inneal leis fhèin. Bidh co-theacsa a’ cuideachadh le bhith a’ stiùireadh an sgrùdaidh, a’ prìomhachasadh freagairt agus a’ stiùireadh ghoireasan. Le bhith a’ dèanamh anailis air na diofar raointean ann an log an tachartais agus a’ coileanadh co-dhàimh ri tachartasan eile, faodar pròiseasan neo-riaghailteach a lorg chun tùs agus an adhbhar a dhearbhadh.