ഒരു അന്വേഷണത്തിൽ വിൻഡോസ് സെക്യൂരിറ്റി ഇവന്റ് ഐഡി 4688 എങ്ങനെ വ്യാഖ്യാനിക്കാം

അവതാരിക

അതുപ്രകാരം മൈക്രോസോഫ്റ്റ്, ഇവന്റ് ഐഡികൾ (ഇവന്റ് ഐഡന്റിഫയറുകൾ എന്നും അറിയപ്പെടുന്നു) ഒരു പ്രത്യേക ഇവന്റിനെ അദ്വിതീയമായി തിരിച്ചറിയുന്നു. വിൻഡോസ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ലോഗ് ചെയ്ത ഓരോ ഇവന്റിലും ഘടിപ്പിച്ചിട്ടുള്ള ഒരു സംഖ്യാ ഐഡന്റിഫയറാണിത്. ഐഡന്റിഫയർ നൽകുന്നു വിവരം സംഭവിച്ച സംഭവത്തെക്കുറിച്ച്, സിസ്റ്റം പ്രവർത്തനങ്ങളുമായി ബന്ധപ്പെട്ട പ്രശ്നങ്ങൾ തിരിച്ചറിയുന്നതിനും പരിഹരിക്കുന്നതിനും ഇത് ഉപയോഗിക്കാം. ഒരു ഇവന്റ്, ഈ സന്ദർഭത്തിൽ, സിസ്റ്റം അല്ലെങ്കിൽ ഒരു സിസ്റ്റത്തിലെ ഉപയോക്താവ് നടത്തുന്ന ഏതൊരു പ്രവർത്തനത്തെയും സൂചിപ്പിക്കുന്നു. ഇവന്റ് വ്യൂവർ ഉപയോഗിച്ച് ഈ ഇവന്റുകൾ വിൻഡോസിൽ കാണാൻ കഴിയും

ഒരു പുതിയ പ്രോസസ്സ് സൃഷ്ടിക്കുമ്പോഴെല്ലാം ഇവന്റ് ഐഡി 4688 ലോഗ് ചെയ്യപ്പെടും. മെഷീൻ നടപ്പിലാക്കുന്ന ഓരോ പ്രോഗ്രാമും സ്രഷ്ടാവ്, ടാർഗെറ്റ്, അത് ആരംഭിച്ച പ്രക്രിയ എന്നിവയുൾപ്പെടെ അതിന്റെ തിരിച്ചറിയൽ ഡാറ്റയും ഇത് രേഖപ്പെടുത്തുന്നു. ഇവന്റ് ഐഡി 4688-ന് കീഴിൽ നിരവധി ഇവന്റുകൾ ലോഗിൻ ചെയ്‌തിരിക്കുന്നു. ലോഗിൻ ചെയ്യുമ്പോൾ,  സെഷൻ മാനേജർ സബ്സിസ്റ്റം (SMSS.exe) സമാരംഭിക്കുകയും ഇവന്റ് 4688 ലോഗ് ചെയ്യുകയും ചെയ്യുന്നു. ഒരു സിസ്റ്റത്തിന് ക്ഷുദ്രവെയർ ബാധിച്ചാൽ, ക്ഷുദ്രവെയർ പ്രവർത്തിക്കാൻ പുതിയ പ്രക്രിയകൾ സൃഷ്ടിക്കാൻ സാധ്യതയുണ്ട്. അത്തരം പ്രക്രിയകൾ ഐഡി 4688 പ്രകാരം രേഖപ്പെടുത്തും.

 

AWS-ൽ ഉബുണ്ടു 20.04-ൽ Redmine വിന്യസിക്കുക

ഇവന്റ് ഐഡി 4688 വ്യാഖ്യാനിക്കുന്നു

ഇവന്റ് ഐഡി 4688 വ്യാഖ്യാനിക്കുന്നതിന്, ഇവന്റ് ലോഗിൽ ഉൾപ്പെടുത്തിയിരിക്കുന്ന വ്യത്യസ്ത ഫീൽഡുകൾ മനസ്സിലാക്കേണ്ടത് പ്രധാനമാണ്. ഏതെങ്കിലും ക്രമക്കേടുകൾ കണ്ടെത്തുന്നതിനും ഒരു പ്രക്രിയയുടെ ഉറവിടം അതിന്റെ ഉറവിടത്തിലേക്ക് തിരികെ കണ്ടെത്തുന്നതിനും ഈ ഫീൽഡുകൾ ഉപയോഗിക്കാനാകും.

• സ്രഷ്‌ടാവിന്റെ വിഷയം: ഒരു പുതിയ പ്രക്രിയ സൃഷ്‌ടിക്കാൻ അഭ്യർത്ഥിച്ച ഉപയോക്തൃ അക്കൗണ്ടിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ഈ ഫീൽഡ് നൽകുന്നു. ഈ ഫീൽഡ് സന്ദർഭം നൽകുകയും ഫോറൻസിക് അന്വേഷകരെ അപാകതകൾ തിരിച്ചറിയാൻ സഹായിക്കുകയും ചെയ്യും. ഇതിൽ നിരവധി ഉപഫീൽഡുകൾ ഉൾപ്പെടുന്നു:

• • സുരക്ഷാ ഐഡന്റിഫയർ (SID)” പ്രകാരം മൈക്രോസോഫ്റ്റ്, ഒരു ട്രസ്റ്റിയെ തിരിച്ചറിയാൻ ഉപയോഗിക്കുന്ന ഒരു അദ്വിതീയ മൂല്യമാണ് SID. വിൻഡോസ് മെഷീനിലെ ഉപയോക്താക്കളെ തിരിച്ചറിയാൻ ഇത് ഉപയോഗിക്കുന്നു.
  • അക്കൗണ്ടിന്റെ പേര്: പുതിയ പ്രക്രിയയുടെ സൃഷ്‌ടിക്ക് തുടക്കമിട്ട അക്കൗണ്ടിന്റെ പേര് കാണിക്കാൻ SID പരിഹരിച്ചു.
  • അക്കൗണ്ട് ഡൊമെയ്ൻ: കമ്പ്യൂട്ടർ ഉൾപ്പെടുന്ന ഡൊമെയ്ൻ.
  • ലോഗിൻ ഐഡി: ഉപയോക്താവിന്റെ ലോഗിൻ സെഷൻ തിരിച്ചറിയാൻ ഉപയോഗിക്കുന്ന ഒരു അദ്വിതീയ ഹെക്സാഡെസിമൽ മൂല്യം. ഒരേ ഇവന്റ് ഐഡി അടങ്ങിയിരിക്കുന്ന ഇവന്റുകൾ പരസ്പരം ബന്ധപ്പെടുത്താൻ ഇത് ഉപയോഗിക്കാം.

• ടാർഗെറ്റ് വിഷയം: ഈ പ്രക്രിയ പ്രവർത്തിക്കുന്ന ഉപയോക്തൃ അക്കൗണ്ടിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ഈ ഫീൽഡ് നൽകുന്നു. പ്രോസസ്സ് ക്രിയേഷൻ ഇവന്റിൽ പരാമർശിച്ചിരിക്കുന്ന വിഷയം, ചില സാഹചര്യങ്ങളിൽ, പ്രോസസ്സ് അവസാനിപ്പിക്കൽ ഇവന്റിൽ സൂചിപ്പിച്ച വിഷയത്തിൽ നിന്ന് വ്യത്യസ്തമായിരിക്കാം. അതിനാൽ, സ്രഷ്‌ടാവിനും ടാർഗെറ്റിനും ഒരേ ലോഗൺ ഇല്ലാത്തപ്പോൾ, അവ രണ്ടും ഒരേ പ്രോസസ്സ് ഐഡിയെ പരാമർശിക്കുന്നുണ്ടെങ്കിലും ടാർഗെറ്റ് വിഷയം ഉൾപ്പെടുത്തേണ്ടത് പ്രധാനമാണ്. ഉപഫീൽഡുകൾ മുകളിലുള്ള സ്രഷ്ടാവിന്റെ വിഷയത്തിന് സമാനമാണ്.
• പ്രോസസ്സ് വിവരങ്ങൾ: സൃഷ്ടിച്ച പ്രക്രിയയെക്കുറിച്ചുള്ള വിശദമായ വിവരങ്ങൾ ഈ ഫീൽഡ് നൽകുന്നു. ഇതിൽ നിരവധി ഉപഫീൽഡുകൾ ഉൾപ്പെടുന്നു:

• • പുതിയ പ്രോസസ്സ് ഐഡി (പിഐഡി): പുതിയ പ്രോസസ്സിന് അസൈൻ ചെയ്‌തിരിക്കുന്ന ഒരു അദ്വിതീയ ഹെക്‌സാഡെസിമൽ മൂല്യം. സജീവമായ പ്രക്രിയകളുടെ ട്രാക്ക് സൂക്ഷിക്കാൻ വിൻഡോസ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഇത് ഉപയോഗിക്കുന്നു.
  • പുതിയ പ്രോസസ് നാമം: പുതിയ പ്രോസസ്സ് സൃഷ്ടിക്കാൻ സമാരംഭിച്ച എക്സിക്യൂട്ടബിൾ ഫയലിന്റെ മുഴുവൻ പാതയും പേരും.
  • ടോക്കൺ ഇവാലുവേഷൻ തരം: ഒരു പ്രത്യേക പ്രവർത്തനം നടത്താൻ ഒരു ഉപയോക്തൃ അക്കൗണ്ടിന് അധികാരമുണ്ടോ എന്ന് നിർണ്ണയിക്കാൻ വിൻഡോസ് ഉപയോഗിക്കുന്ന ഒരു സുരക്ഷാ സംവിധാനമാണ് ടോക്കൺ മൂല്യനിർണ്ണയം. ഉയർന്ന പ്രത്യേകാവകാശങ്ങൾ അഭ്യർത്ഥിക്കാൻ ഒരു പ്രോസസ്സ് ഉപയോഗിക്കുന്ന ടോക്കണിന്റെ തരത്തെ "ടോക്കൺ മൂല്യനിർണ്ണയ തരം" എന്ന് വിളിക്കുന്നു. ഈ ഫീൽഡിന് മൂന്ന് മൂല്യങ്ങൾ സാധ്യമാണ്. ടൈപ്പ് 1 (%%1936) എന്നത്, പ്രോസസ്സ് ഡിഫോൾട്ട് യൂസർ ടോക്കൺ ഉപയോഗിക്കുന്നുണ്ടെന്നും പ്രത്യേക അനുമതികളൊന്നും ആവശ്യപ്പെട്ടിട്ടില്ലെന്നും സൂചിപ്പിക്കുന്നു. ഈ ഫീൽഡിന്, ഇത് ഏറ്റവും സാധാരണമായ മൂല്യമാണ്. ടൈപ്പ് 2 (%%1937) സൂചിപ്പിക്കുന്നത്, പ്രോസസ്സ് പ്രവർത്തിപ്പിക്കുന്നതിന് മുഴുവൻ അഡ്മിനിസ്ട്രേറ്റർ പ്രത്യേകാവകാശങ്ങളും അഭ്യർത്ഥിക്കുകയും അവ നേടുന്നതിൽ വിജയിക്കുകയും ചെയ്തു. ഒരു ഉപയോക്താവ് അഡ്മിനിസ്ട്രേറ്ററായി ഒരു ആപ്ലിക്കേഷനോ പ്രോസസ്സോ പ്രവർത്തിപ്പിക്കുമ്പോൾ, അത് പ്രവർത്തനക്ഷമമാക്കും. ടൈപ്പ് 3 (%%1938) സൂചിപ്പിക്കുന്നത്, ഉയർന്ന പ്രത്യേകാവകാശങ്ങൾ അഭ്യർത്ഥിച്ചിട്ടുണ്ടെങ്കിലും, അഭ്യർത്ഥിച്ച പ്രവർത്തനം നടപ്പിലാക്കുന്നതിന് ആവശ്യമായ അവകാശങ്ങൾ മാത്രമേ പ്രോസസ്സിന് ലഭിച്ചിട്ടുള്ളൂ എന്നാണ്.

• • നിർബന്ധിത ലേബൽ: പ്രോസസിലേക്ക് നിയോഗിക്കപ്പെട്ട ഒരു സമഗ്രത ലേബൽ. 
  • ക്രിയേറ്റർ പ്രോസസ് ഐഡി: പുതിയ പ്രോസസ്സ് ആരംഭിച്ച പ്രക്രിയയ്ക്ക് അസൈൻ ചെയ്‌തിരിക്കുന്ന ഒരു അദ്വിതീയ ഹെക്‌സാഡെസിമൽ മൂല്യം. 
  • ക്രിയേറ്റർ പ്രോസസ് നാമം: പുതിയ പ്രോസസ്സ് സൃഷ്ടിച്ച പ്രക്രിയയുടെ മുഴുവൻ പാതയും പേരും.
  • പ്രോസസ്സ് കമാൻഡ് ലൈൻ: പുതിയ പ്രക്രിയ ആരംഭിക്കുന്നതിന് കമാൻഡിലേക്ക് നൽകിയ ആർഗ്യുമെന്റുകളെക്കുറിച്ചുള്ള വിശദാംശങ്ങൾ നൽകുന്നു. നിലവിലെ ഡയറക്ടറിയും ഹാഷുകളും ഉൾപ്പെടെ നിരവധി ഉപഫീൽഡുകൾ ഇതിൽ ഉൾപ്പെടുന്നു.

ഉബുണ്ടു 18.04-ൽ ഗോഫിഷ് ഫിഷിംഗ് പ്ലാറ്റ്ഫോം AWS-ലേക്ക് വിന്യസിക്കുക

തീരുമാനം

 

ഒരു പ്രക്രിയ വിശകലനം ചെയ്യുമ്പോൾ, അത് നിയമാനുസൃതമാണോ അതോ ക്ഷുദ്രകരമാണോ എന്ന് നിർണ്ണയിക്കേണ്ടത് പ്രധാനമാണ്. സ്രഷ്‌ടാവിന്റെ വിഷയവും പ്രോസസ്സ് വിവര ഫീൽഡുകളും നോക്കി നിയമാനുസൃതമായ ഒരു പ്രക്രിയ എളുപ്പത്തിൽ തിരിച്ചറിയാൻ കഴിയും. അസാധാരണമായ രക്ഷാകർതൃ പ്രക്രിയയിൽ നിന്ന് പുതിയൊരു പ്രക്രിയ ഉണ്ടാകുന്നത് പോലെയുള്ള അപാകതകൾ തിരിച്ചറിയാൻ പ്രോസസ്സ് ഐഡി ഉപയോഗിക്കാം. ഒരു പ്രക്രിയയുടെ നിയമസാധുത പരിശോധിക്കാനും കമാൻഡ് ലൈൻ ഉപയോഗിക്കാം. ഉദാഹരണത്തിന്, സെൻസിറ്റീവ് ഡാറ്റയിലേക്കുള്ള ഫയൽ പാത്ത് ഉൾപ്പെടുന്ന ആർഗ്യുമെന്റുകളുള്ള ഒരു പ്രക്രിയ ക്ഷുദ്രകരമായ ഉദ്ദേശ്യത്തെ സൂചിപ്പിക്കാം. ഉപയോക്തൃ അക്കൗണ്ട് സംശയാസ്പദമായ പ്രവർത്തനവുമായി ബന്ധപ്പെട്ടതാണോ അതോ ഉയർന്ന പ്രത്യേകാവകാശങ്ങളുണ്ടോ എന്ന് നിർണ്ണയിക്കാൻ ക്രിയേറ്റർ സബ്ജക്റ്റ് ഫീൽഡ് ഉപയോഗിക്കാം. 

കൂടാതെ, പുതുതായി സൃഷ്‌ടിച്ച പ്രക്രിയയെക്കുറിച്ചുള്ള സന്ദർഭം നേടുന്നതിന്, ഇവന്റ് ഐഡി 4688-നെ സിസ്റ്റത്തിലെ മറ്റ് പ്രസക്തമായ ഇവന്റുകളുമായി ബന്ധപ്പെടുത്തേണ്ടത് പ്രധാനമാണ്. പുതിയ പ്രോസസ്സ് ഏതെങ്കിലും നെറ്റ്‌വർക്ക് കണക്ഷനുകളുമായി ബന്ധപ്പെട്ടതാണോ എന്ന് നിർണ്ണയിക്കാൻ ഇവന്റ് ഐഡി 4688-നെ 5156-മായി ബന്ധപ്പെടുത്താവുന്നതാണ്. പുതിയ പ്രോസസ്സ് പുതുതായി ഇൻസ്റ്റാൾ ചെയ്ത സേവനവുമായി ബന്ധപ്പെട്ടതാണെങ്കിൽ, അധിക വിവരങ്ങൾ നൽകുന്നതിന് ഇവന്റ് 4697 (സർവീസ് ഇൻസ്റ്റാളേഷൻ) 4688-മായി പരസ്പരബന്ധിതമാക്കാം. ഇവന്റ് ഐഡി 5140 (ഫയൽ സൃഷ്‌ടിക്കൽ) പുതിയ പ്രോസസ്സ് സൃഷ്‌ടിച്ച ഏതെങ്കിലും പുതിയ ഫയലുകൾ തിരിച്ചറിയാനും ഉപയോഗിക്കാം.

ഉപസംഹാരമായി, സിസ്റ്റത്തിന്റെ സന്ദർഭം മനസ്സിലാക്കുന്നത് സാധ്യതകൾ നിർണ്ണയിക്കുക എന്നതാണ് ആഘാതം പ്രക്രിയയുടെ. ഒരു നിർണായക സെർവറിൽ ആരംഭിച്ച ഒരു പ്രക്രിയ ഒരു സ്റ്റാൻഡ്‌ലോൺ മെഷീനിൽ സമാരംഭിക്കുന്നതിനേക്കാൾ വലിയ സ്വാധീനം ചെലുത്താൻ സാധ്യതയുണ്ട്. അന്വേഷണം നയിക്കാനും പ്രതികരണത്തിന് മുൻഗണന നൽകാനും ഉറവിടങ്ങൾ നിയന്ത്രിക്കാനും സന്ദർഭം സഹായിക്കുന്നു. ഇവന്റ് ലോഗിലെ വ്യത്യസ്‌ത ഫീൽഡുകൾ വിശകലനം ചെയ്യുന്നതിലൂടെയും മറ്റ് ഇവന്റുകളുമായി പരസ്പരബന്ധം നടത്തുന്നതിലൂടെയും, അസാധാരണമായ പ്രക്രിയകൾ അവയുടെ ഉത്ഭവവും കാരണവും കണ്ടെത്താനാകും.