Windows Security Event ID 4688 විමර්ශනයකදී අර්ථකථනය කරන්නේ කෙසේද?

හැදින්වීම

අනුව මයික්රොසොෆ්ට්, සිද්ධි හැඳුනුම්පත් (සිදුවීම් හඳුනාගැනීම් ලෙසද හැඳින්වේ) විශේෂිත සිදුවීමක් අනන්‍ය ලෙස හඳුනා ගනී. එය වින්ඩෝස් මෙහෙයුම් පද්ධතිය විසින් ලොග් කර ඇති සෑම සිදුවීමකටම අනුයුක්ත කර ඇති සංඛ්‍යාත්මක හඳුනාගැනීමකි. හැඳුනුම්කාරකය සපයයි තොරතුරු සිදු වූ සිදුවීම ගැන සහ පද්ධති මෙහෙයුම් සම්බන්ධ ගැටළු හඳුනා ගැනීමට සහ දෝශ නිරාකරණය කිරීමට භාවිතා කළ හැක. සිදුවීමක්, මෙම සන්දර්භය තුළ, පද්ධතියක් හෝ පද්ධතියක පරිශීලකයෙකු විසින් සිදු කරනු ලබන ඕනෑම ක්‍රියාවකට යොමු වේ. මෙම සිදුවීම් Windows හි Event Viewer භාවිතයෙන් නැරඹිය හැක

නව ක්‍රියාවලියක් සාදන විට සිදුවීම් ID 4688 ලොග් වේ. එය යන්ත්‍රය මඟින් ක්‍රියාත්මක කරන සෑම වැඩසටහනක්ම සහ එහි නිර්මාතෘ, ඉලක්කය සහ එය ආරම්භ කළ ක්‍රියාවලිය ඇතුළුව එහි හඳුනාගැනීමේ දත්ත ලේඛනගත කරයි. සිදුවීම් ID 4688 යටතේ සිදුවීම් කිහිපයක් ලොග් කර ඇත. පුරනය වූ පසු, සැසි කළමනාකරු උප පද්ධතිය (SMSS.exe) දියත් කරනු ලබන අතර, 4688 ඉසව්ව ලොග් වී ඇත. පද්ධතියක් අනිෂ්ට මෘදුකාංග මගින් ආසාදනය වී ඇත්නම්, අනිෂ්ට මෘදුකාංගය ක්‍රියාත්මක වීමට නව ක්‍රියාවලි නිර්මාණය කිරීමට ඉඩ ඇත. එවැනි ක්‍රියාවලි ID 4688 යටතේ ලේඛනගත කෙරේ.

 

AWS මත උබුන්ටු 20.04 මත Redmine යොදවන්න

සිදුවීම් ID 4688 අර්ථකථනය කිරීම

සිදුවීම් ID 4688 අර්ථ නිරූපණය කිරීම සඳහා, සිදුවීම් ලොගයේ ඇතුළත් විවිධ ක්ෂේත්‍ර තේරුම් ගැනීම වැදගත් වේ. කිසියම් අක්‍රමිකතා හඳුනා ගැනීමට සහ ක්‍රියාවලියක මූලාරම්භය එහි මූලාශ්‍රය වෙත ආපසු යාමට මෙම ක්ෂේත්‍ර භාවිතා කළ හැක.

• නිර්මාපක විෂය: මෙම ක්ෂේත්‍රය නව ක්‍රියාවලියක් නිර්මාණය කිරීමට ඉල්ලා සිටි පරිශීලක ගිණුම පිළිබඳ තොරතුරු සපයයි. මෙම ක්ෂේත්‍රය සන්දර්භය සපයන අතර අධිකරණ වෛද්‍ය පරීක්ෂකයින්ට විෂමතා හඳුනා ගැනීමට උපකාර කළ හැක. එයට උප ක්ෂේත්‍ර කිහිපයක් ඇතුළත් වේ:

• • ආරක්ෂක හැඳුනුම්කාරකය (SID)” අනුව මයික්රොසොෆ්ට්, SID යනු භාරකරුවෙකු හඳුනා ගැනීමට භාවිතා කරන අද්විතීය අගයකි. එය වින්ඩෝස් පරිගණකයේ භාවිතා කරන්නන් හඳුනා ගැනීමට භාවිතා කරයි.
  • ගිණුමේ නම: නව ක්‍රියාවලිය නිර්මාණය කිරීම ආරම්භ කළ ගිණුමේ නම පෙන්වීමට SID නිරාකරණය කර ඇත.
  • ගිණුම් වසම: පරිගණකය අයත් වසම.
  • පිවිසුම් හැඳුනුම්පත: පරිශීලකයාගේ පිවිසුම් සැසිය හඳුනා ගැනීමට භාවිතා කරන අද්විතීය ෂඩාස්‍ර අගයකි. එකම සිදුවීම් හැඳුනුම්පත අඩංගු සිදුවීම් සහසම්බන්ධ කිරීමට එය භාවිතා කළ හැක.

• ඉලක්ක විෂය: මෙම ක්ෂේත්‍රය ක්‍රියාවලිය යටතේ ක්‍රියාත්මක වන පරිශීලක ගිණුම පිළිබඳ තොරතුරු සපයයි. ක්‍රියාවලි නිර්මාණය කිරීමේ සිද්ධියේ සඳහන් විෂය, සමහර අවස්ථා වලදී, ක්‍රියාවලි අවසන් කිරීමේ සිද්ධියේ සඳහන් විෂයට වඩා වෙනස් විය හැක. එබැවින්, නිර්මාපකයාට සහ ඉලක්කයට එකම පිවිසුම නොමැති විට, ඔවුන් දෙදෙනාම එකම ක්‍රියාවලි හැඳුනුම්පතක් යොමු කළද ඉලක්ක විෂය ඇතුළත් කිරීම වැදගත් වේ. උප ක්ෂේත්‍ර ඉහත නිර්මාතෘ විෂයට සමාන වේ.
• ක්‍රියාවලි තොරතුරු: මෙම ක්ෂේත්‍රය නිර්මාණය කරන ලද ක්‍රියාවලිය පිළිබඳ සවිස්තරාත්මක තොරතුරු සපයයි. එයට උප ක්ෂේත්‍ර කිහිපයක් ඇතුළත් වේ:

• • නව ක්‍රියාවලි ID (PID): නව ක්‍රියාවලියට පවරා ඇති අද්විතීය ෂඩාස්‍ර අගයකි. වින්ඩෝස් මෙහෙයුම් පද්ධතිය එය සක්‍රීය ක්‍රියාවලි නිරීක්ෂණය කිරීමට භාවිතා කරයි.
  • නව ක්‍රියාවලි නම: නව ක්‍රියාවලිය නිර්මාණය කිරීම සඳහා දියත් කරන ලද ක්‍රියාත්මක කළ හැකි ගොනුවේ සම්පූර්ණ මාර්ගය සහ නම.
  • ටෝකන ඇගයීමේ වර්ගය: ටෝකන් ඇගයුම යනු යම් ක්‍රියාවක් කිරීමට පරිශීලක ගිණුමකට අවසර තිබේද යන්න තීරණය කිරීම සඳහා වින්ඩෝස් විසින් භාවිතා කරන ආරක්ෂක යාන්ත්‍රණයකි. උසස් වරප්‍රසාද ඉල්ලා සිටීමට ක්‍රියාවලියක් භාවිතා කරන ටෝකන වර්ගය "ටෝකන් ඇගයුම් වර්ගය" ලෙස හැඳින්වේ. මෙම ක්ෂේත්රය සඳහා හැකි අගයන් තුනක් ඇත. 1 වර්ගය (%%1936) යන්නෙන් අදහස් කරන්නේ ක්‍රියාවලිය පෙරනිමි පරිශීලක ටෝකනය භාවිතා කරන අතර කිසිදු විශේෂ අවසරයක් ඉල්ලා නොමැති බවයි. මෙම ක්ෂේත්රය සඳහා, එය වඩාත් පොදු අගය වේ. 2 වර්ගය (%%1937) යන්නෙන් අදහස් කරන්නේ ක්‍රියාවලිය ක්‍රියාත්මක කිරීම සඳහා සම්පූර්ණ පරිපාලක වරප්‍රසාද ඉල්ලා සිටි අතර ඒවා ලබා ගැනීමට සාර්ථක වූ බවයි. පරිශීලකයෙකු යෙදුමක් හෝ ක්‍රියාවලියක් පරිපාලක ලෙස ධාවනය කරන විට, එය සක්‍රීය වේ. 3 වර්ගය (%%1938) යන්නෙන් අදහස් කරන්නේ ක්‍රියාවලියට උසස් වරප්‍රසාද ඉල්ලා සිටියද, ඉල්ලා සිටින ක්‍රියාව සිදු කිරීමට අවශ්‍ය අයිතීන් පමණක් ලැබුණු බවයි.

• • අනිවාර්ය ලේබලය: ක්‍රියාවලියට පවරා ඇති අඛණ්ඩතා ලේබලයකි. 
  • නිර්මාපක ක්‍රියාවලි ID: නව ක්‍රියාවලිය ආරම්භ කළ ක්‍රියාවලියට පවරා ඇති අද්විතීය ෂඩාස්‍ර අගයකි. 
  • නිර්මාපක ක්‍රියාවලියේ නම: සම්පූර්ණ මාර්ගය සහ නව ක්‍රියාවලිය නිර්මාණය කළ ක්‍රියාවලියේ නම.
  • ක්‍රියාවලි විධාන රේඛාව: නව ක්‍රියාවලිය ආරම්භ කිරීම සඳහා විධානයට ලබා දුන් තර්ක පිළිබඳ විස්තර සපයයි. එයට වත්මන් නාමාවලිය සහ හැෂ් ඇතුළු උප ක්ෂේත්‍ර කිහිපයක් ඇතුළත් වේ.

GoPhish තතුබෑම් වේදිකාව උබුන්ටු 18.04 හි AWS වෙත යොදවන්න

නිගමනය

 

ක්‍රියාවලියක් විශ්ලේෂණය කිරීමේදී, එය නීත්‍යානුකූලද ද්වේෂ සහගතද යන්න තීරණය කිරීම අත්‍යවශ්‍ය වේ. නිර්මාපක විෂය සහ ක්‍රියාවලි තොරතුරු ක්ෂේත්‍ර දෙස බැලීමෙන් නීත්‍යානුකූල ක්‍රියාවලියක් පහසුවෙන් හඳුනාගත හැකිය. අසාමාන්‍ය මාපිය ක්‍රියාවලියකින් ඇති වන නව ක්‍රියාවලියක් වැනි විෂමතා හඳුනා ගැනීමට ක්‍රියාවලි ID භාවිතා කළ හැක. ක්‍රියාවලියක නීත්‍යානුකූල භාවය තහවුරු කිරීමට විධාන රේඛාව ද භාවිතා කළ හැක. උදාහරණයක් ලෙස, සංවේදී දත්ත වෙත ගොනු මාර්ගයක් ඇතුළත් තර්ක සහිත ක්‍රියාවලියක් අනිෂ්ට චේතනාවක් දැක්විය හැක. පරිශීලක ගිණුම සැක කටයුතු ක්‍රියාකාරකම් සමඟ සම්බන්ධ වී තිබේද නැතහොත් ඉහළ වරප්‍රසාද තිබේද යන්න තීරණය කිරීමට නිර්මාපක විෂය ක්ෂේත්‍රය භාවිතා කළ හැක. 

තවද, අලුතින් සාදන ලද ක්‍රියාවලිය පිළිබඳ සන්දර්භය ලබා ගැනීම සඳහා සිදුවීම් ID 4688 පද්ධතියේ අනෙකුත් අදාළ සිදුවීම් සමඟ සහසම්බන්ධ කිරීම වැදගත් වේ. නව ක්‍රියාවලිය කිසියම් ජාල සම්බන්ධතාවක් සමඟ සම්බන්ධ වී තිබේද යන්න තීරණය කිරීමට සිදුවීම් ID 4688 5156 සමඟ සහසම්බන්ධ කළ හැක. නව ක්‍රියාවලිය අලුතින් ස්ථාපිත සේවාවක් සමඟ සම්බන්ධ වී ඇත්නම්, අමතර තොරතුරු සැපයීම සඳහා 4697 (සේවා ස්ථාපනය) සිදුවීම 4688 සමඟ සහසම්බන්ධ කළ හැක. සිදුවීම් ID 5140 (ගොනු නිර්මාණය) නව ක්‍රියාවලිය මගින් සාදන ලද ඕනෑම නව ගොනු හඳුනා ගැනීමට ද භාවිතා කළ හැක.

අවසාන වශයෙන්, පද්ධතියේ සන්දර්භය අවබෝධ කර ගැනීම යනු විභවය තීරණය කිරීමයි බලපෑම ක්රියාවලියේ. තීරණාත්මක සේවාදායකයක් මත ආරම්භ කරන ලද ක්‍රියාවලියක් ස්වාධීන යන්ත්‍රයක දියත් කරන ලද ක්‍රියාවලියකට වඩා වැඩි බලපෑමක් ඇති කිරීමට ඉඩ ඇත. විමර්ශනය මෙහෙයවීමට, ප්‍රතිචාරයට ප්‍රමුඛත්වය දීමට සහ සම්පත් කළමනාකරණය කිරීමට සන්දර්භය උදවු කරයි. සිදුවීම් ලොගයේ විවිධ ක්ෂේත්‍ර විශ්ලේෂණය කිරීමෙන් සහ වෙනත් සිදුවීම් සමඟ සහසම්බන්ධයක් සිදු කිරීමෙන්, විෂම ක්‍රියාවලීන් ඒවායේ මූලාරම්භය සහ හේතුව තීරණය කළ හැකිය.