تفسير ڪيئن ڪجي Windows سيڪيورٽي ايونٽ ID 4688 هڪ تحقيق ۾

تعارف

جي مطابق Microsoft جي, واقعي جي سڃاڻپ (جنهن کي واقعي جي سڃاڻپ ڪندڙ پڻ سڏيو ويندو آهي) منفرد طور تي هڪ خاص واقعي جي نشاندهي ڪن ٿا. اهو هڪ عددي سڃاڻپ ڪندڙ آهي جيڪو ونڊوز آپريٽنگ سسٽم طرفان لاگ ٿيل هر واقعي سان ڳنڍيل آهي. سڃاڻپ ڪندڙ مهيا ڪري ٿو معلومات واقعي جي باري ۾ جيڪو واقع ٿيو ۽ سسٽم جي عملن سان لاڳاپيل مسئلن کي سڃاڻڻ ۽ ان کي حل ڪرڻ لاء استعمال ڪري سگهجي ٿو. ھڪڙو واقعو، ھن حوالي سان، ھڪڙي عمل ڏانھن اشارو ڪري ٿو جيڪو سسٽم يا صارف طرفان سسٽم تي ڪيو ويو آھي. اهي واقعا ونڊوز تي ايونٽ Viewer استعمال ڪندي ڏسي سگهجن ٿا

ايونٽ ID 4688 لاگ ان ٿيل آهي جڏهن به هڪ نئون عمل ٺاهيو ويندو آهي. اهو هر پروگرام کي دستاويز ڪري ٿو جيڪو مشين پاران جاري ڪيو ويو آهي ۽ ان جي سڃاڻپ ڪندڙ ڊيٽا، بشمول خالق، ٽارگيٽ، ۽ اهو عمل جيڪو ان کي شروع ڪيو. ايونٽ ID 4688 تحت ڪيترائي واقعا لاگ ان ٿيل آھن. لاگ ان ٿيڻ تي، سيشن مئنيجر سب سسٽم (SMSS.exe) شروع ڪيو ويندو آھي، ۽ واقعو 4688 لاگ ان ٿيندو آھي. جيڪڏهن هڪ سسٽم مالويئر کان متاثر ٿيل آهي، مالويئر کي هلائڻ لاء نئين عمل ٺاهڻ جو امڪان آهي. اهڙا عمل ID 4688 تحت دستاويز ڪيا ويندا.

 

AWS تي Ubuntu 20.04 تي ريڊمين کي ترتيب ڏيو

تعبير واقعي جي ID 4688

ايونٽ ID 4688 جي تشريح ڪرڻ لاءِ، ايونٽ لاگ ۾ شامل مختلف شعبن کي سمجھڻ ضروري آھي. اهي شعبا استعمال ڪري سگھجن ٿا ڪنهن به بي ضابطگي کي ڳولڻ ۽ عمل جي اصليت کي ان جي ماخذ ڏانهن واپس ڪرڻ لاءِ.

• تخليق ڪندڙ مضمون: هي فيلڊ معلومات مهيا ڪري ٿو صارف کاتي جي باري ۾ جنهن هڪ نئين عمل جي تخليق جي درخواست ڪئي. هي فيلڊ حوالو مهيا ڪري ٿو ۽ مدد ڪري سگهي ٿو فارنزڪ تحقيق ڪندڙن کي بي ضابطگين جي نشاندهي ڪرڻ. ان ۾ ڪيترائي ذيلي فيلڊ شامل آھن، جن ۾ شامل آھن:

• • سيڪيورٽي سڃاڻپ ڪندڙ (SID)” مطابق Microsoft جي، SID ھڪڙو منفرد قدر آھي جيڪو ھڪڙي معتبر جي سڃاڻپ ڪرڻ لاءِ استعمال ڪيو ويندو آھي. اهو ونڊوز مشين تي استعمال ڪندڙن جي سڃاڻپ ڪرڻ لاء استعمال ڪيو ويندو آهي.
  • اڪائونٽ جو نالو: SID ان اڪائونٽ جو نالو ڏيکارڻ لاءِ حل ڪيو ويو آهي جنهن نئين عمل جي شروعات ڪئي.
  • اڪائونٽ ڊومين: اهو ڊومين جنهن سان ڪمپيوٽر جو تعلق آهي.
  • لاگ ان ID: هڪ منفرد هيڪساڊسيمل قدر جيڪو استعمال ڪندڙ جي لاگ ان سيشن کي سڃاڻڻ لاءِ استعمال ڪيو ويندو آهي. اهو استعمال ڪري سگهجي ٿو واقعن سان تعلق رکڻ لاءِ جنهن ۾ ساڳي واقعي جي ID شامل آهي.

• ھدف جو موضوع: ھي فيلڊ معلومات مهيا ڪري ٿو صارف کاتي جي باري ۾ جيڪو عمل جاري آھي. عمل جي ٺهڻ واري واقعي ۾ ذڪر ڪيل موضوع، ڪجهه حالتن ۾، پروسيس ختم ٿيڻ واري واقعي ۾ ذڪر ڪيل موضوع کان الڳ ٿي سگهي ٿو. تنهن ڪري، جڏهن تخليق ڪندڙ ۽ ٽارگيٽ ساڳيو لاگ ان نه آهي، اهو ضروري آهي ته ٽارگيٽ موضوع کي شامل ڪيو وڃي جيتوڻيڪ اهي ٻئي ساڳئي پروسيس ID جو حوالو ڏين ٿا. ذيلي فيلڊس ساڳيا آهن جيئن مٿي ڏنل خالق جي مضمون جي.
• پروسيس جي معلومات: هي فيلڊ ٺاهيل پروسيس بابت تفصيلي ڄاڻ فراهم ڪري ٿي. ان ۾ ڪيترائي ذيلي فيلڊ شامل آھن، جن ۾ شامل آھن:

• • نئين پروسيس جي سڃاڻپ (PID): هڪ منفرد هيڪساڊيڪل قيمت نئين عمل کي لڳايو ويو آهي. ونڊوز آپريٽنگ سسٽم ان کي استعمال ڪري ٿو فعال عملن جي ٽريڪ رکڻ لاءِ.
  • نئين پروسيس جو نالو: مڪمل رستو ۽ عمل ڪندڙ فائل جو نالو جيڪو نئين عمل کي ٺاهڻ لاء شروع ڪيو ويو.
  • ٽوڪن جي تشخيص جو قسم: ٽوڪن جي تشخيص هڪ حفاظتي ميکانيزم آهي جيڪو ونڊوز طرفان استعمال ڪيو ويو آهي اهو طئي ڪرڻ لاءِ ته ڇا صارف کاتو ڪنهن خاص عمل کي انجام ڏيڻ جي مجاز آهي. ٽوڪن جو قسم هڪ عمل اعليٰ استحقاق جي درخواست ڪرڻ لاءِ استعمال ڪندو ”ٽوڪن جي تشخيص جو قسم“ سڏيو ويندو آهي. ھن فيلڊ لاء ٽي ممڪن قدر آھن. ٽائپ 1 (%%1936) ظاهر ڪري ٿو ته اهو عمل ڊفالٽ يوزر ٽوڪن استعمال ڪري رهيو آهي ۽ ڪنهن خاص اجازت جي درخواست نه ڪئي آهي. هن فيلڊ لاء، اهو سڀ کان وڌيڪ عام قدر آهي. ٽائپ 2 (%% 1937) ظاهر ڪري ٿو ته پروسيس کي هلائڻ لاءِ مڪمل ايڊمنسٽريٽر استحقاق جي درخواست ڪئي ۽ انهن کي حاصل ڪرڻ ۾ ڪامياب ٿي ويو. جڏهن هڪ صارف هڪ ايپليڪيشن هلائيندو آهي يا منتظم جي طور تي عمل ڪندو آهي، اهو فعال هوندو آهي. ٽائپ 3 (%% 1938) اهو ظاهر ڪري ٿو ته پروسيس صرف گهربل حق حاصل ڪيا آهن جيڪي درخواست ڪيل عمل کي انجام ڏيڻ لاء گهربل آهن، جيتوڻيڪ اهو اعلي امتياز جي درخواست ڪئي.

• • لازمي ليبل: هڪ سالميت جو ليبل جيڪو عمل تي لڳايو ويو آهي. 
  • Creator Process ID: هڪ منفرد هيڪساڊيڪل قدر ان عمل کي لڳايو ويو آهي جيڪو نئين عمل کي شروع ڪيو. 
  • ٺاھيندڙ پروسيس جو نالو: مڪمل رستو ۽ عمل جو نالو جيڪو نئون عمل ٺاھيو.
  • پروسيس ڪمانڊ لائن: نئين عمل کي شروع ڪرڻ لاء حڪم ۾ منظور ٿيل دليلن بابت تفصيل مهيا ڪري ٿي. ھن ۾ ڪيترائي ذيلي فيلڊ شامل آھن جن ۾ موجوده ڊاريڪٽري ۽ ھيش شامل آھن.

Ubuntu 18.04 تي GoPhish فشنگ پليٽ فارم کي AWS ۾ ترتيب ڏيو

ٿڪل

 

جڏهن هڪ عمل جو تجزيو ڪيو وڃي، اهو طئي ڪرڻ ضروري آهي ته اهو جائز آهي يا بدسلوڪي. هڪ جائز عمل آساني سان سڃاڻي سگهجي ٿو تخليق ڪندڙ مضمون ۽ پروسيس جي معلومات جي شعبن کي ڏسڻ سان. پروسيس ID استعمال ڪري سگھجي ٿو انموليز کي سڃاڻڻ لاءِ، جيئن ھڪڙو نئون عمل ھڪڙو غير معمولي والدين جي عمل مان پيدا ٿئي ٿو. ڪمانڊ لائن پڻ استعمال ڪري سگھجي ٿو ھڪڙي عمل جي مشروعيت جي تصديق ڪرڻ لاءِ. مثال طور، دليلن سان هڪ عمل جنهن ۾ حساس ڊيٽا ڏانهن فائيل جو رستو شامل ٿي سگھي ٿو بدسلوڪي ارادي جي نشاندهي ڪري. تخليق ڪندڙ مضمون فيلڊ استعمال ڪري سگھجي ٿو اهو طئي ڪرڻ لاءِ ته ڇا صارف کاتو مشڪوڪ سرگرمي سان لاڳاپيل آهي يا اعليٰ استحقاق آهي. 

ان کان علاوه، اهو ضروري آهي ته واقعي جي ID 4688 کي سسٽم ۾ ٻين لاڳاپيل واقعن سان لاڳاپو حاصل ڪرڻ لاء نئين ٺاهيل عمل جي حوالي سان حاصل ڪرڻ لاء. واقعي جي ID 4688 کي 5156 سان لاڳاپو ٿي سگھي ٿو اهو طئي ڪرڻ لاءِ ته ڇا نئون عمل ڪنهن نيٽ ورڪ ڪنيڪشن سان جڙيل آهي. جيڪڏهن نئون عمل نئين نصب ٿيل خدمت سان لاڳاپيل آهي، واقعي 4697 (سروس انسٽال) اضافي معلومات مهيا ڪرڻ لاء 4688 سان لاڳاپيل ٿي سگهي ٿو. ايونٽ ID 5140 (فائل ٺاھڻ) پڻ استعمال ڪري سگھجن ٿيون ڪنھن به نئين فائلن کي سڃاڻڻ لاءِ جيڪو نئين عمل ذريعي ٺاھيو ويو آھي.

نتيجي ۾، سسٽم جي حوالي سان سمجهڻ جي صلاحيت کي طئي ڪرڻ آهي اثر عمل جي. هڪ نازڪ سرور تي شروع ڪيل هڪ عمل جو امڪان آهي ته هڪ اسٽينڊل مشين تي شروع ڪيل هڪ کان وڌيڪ اثر هجي. حوالو تحقيق کي سڌو ڪرڻ، جواب کي ترجيح ڏيڻ ۽ وسيلن کي منظم ڪرڻ ۾ مدد ڪري ٿو. ايونٽ لاگ ۾ مختلف شعبن جو تجزيو ڪرڻ ۽ ٻين واقعن سان لاڳاپن کي انجام ڏيڻ سان، غير معمولي عملن کي انهن جي اصليت ۽ سبب جو تعين ڪري سگهجي ٿو.