Giunsa Paghubad ang Windows Security Event ID 4688 sa usa ka Imbestigasyon

Aron mahubad ang ID sa panghitabo 4688, hinungdanon nga masabtan ang lainlaing mga natad nga gilakip sa log sa panghitabo. Kini nga mga natad mahimong magamit sa pag-ila sa bisan unsang mga iregularidad ug pagsubay sa gigikanan sa usa ka proseso balik sa gigikanan niini.

• Tiglalang Subject: kini nga field naghatag og impormasyon mahitungod sa user account nga mihangyo sa paghimo sa usa ka bag-ong proseso. Kini nga field naghatag og konteksto ug makatabang sa forensic investigator sa pag-ila sa mga anomaliya. Naglakip kini sa daghang mga subfield, lakip ang:

• • Security Identifier (SID)” Sumala sa Microsoft, ang SID usa ka talagsaon nga bili nga gigamit sa pag-ila sa usa ka sinaligan. Gigamit kini aron mailhan ang mga tiggamit sa makina sa Windows.
  • Ngalan sa Account: ang SID nasulbad aron ipakita ang ngalan sa account nga nagsugod sa paghimo sa bag-ong proseso.
  • Account Domain: ang domain nga gipanag-iya sa kompyuter.
  • Logon ID: usa ka talagsaon nga hexadecimal value nga gigamit sa pag-ila sa sesyon sa logon sa user. Mahimo kining gamiton sa pag-correlate sa mga panghitabo nga adunay parehas nga ID sa panghitabo.

• Target nga Subject: kini nga natad naghatag kasayuran bahin sa account sa gumagamit nga gipadagan sa proseso. Ang hilisgutan nga gihisgutan sa proseso sa paghimo nga panghitabo mahimo, sa pipila ka mga kahimtang, lahi sa hilisgutan nga gihisgutan sa proseso sa pagtapos nga panghitabo. Mao nga, kung ang tiglalang ug ang target walay parehas nga logon, hinungdanon nga ilakip ang target nga hilisgutan bisan kung pareho silang nag-refer sa parehas nga ID sa proseso. Ang mga subfield parehas sa sa magbubuhat nga hilisgutan sa ibabaw.
• Impormasyon sa Proseso: kini nga natad naghatag detalyado nga kasayuran bahin sa gihimo nga proseso. Naglakip kini sa daghang mga subfield, lakip ang:

• • Bag-ong Proseso ID (PID): usa ka talagsaon nga hexadecimal nga kantidad nga gihatag sa bag-ong proseso. Gigamit kini sa Windows operating system aron masubay ang mga aktibo nga proseso.
  • Bag-ong Ngalan sa Proseso: ang bug-os nga dalan ug ngalan sa executable file nga gilusad sa paghimo sa bag-ong proseso.
  • Token Evaluation Type: ang token evaluation usa ka mekanismo sa seguridad nga gigamit sa Windows aron mahibal-an kung ang usa ka user account gitugotan sa paghimo sa usa ka partikular nga aksyon. Ang tipo sa token nga gamiton sa usa ka proseso sa paghangyo ug taas nga mga pribilehiyo gitawag nga “token evaluation type.” Adunay tulo ka posible nga kantidad alang niini nga natad. Type 1 (%%1936) nagpasabot nga ang proseso naggamit sa default user token ug wala mangayo ug bisan unsang espesyal nga permiso. Alang sa kini nga uma, kini ang labing kasagaran nga kantidad. Ang Type 2 (%%1937) nagpasabot nga ang proseso nangayo ug bug-os nga mga pribilehiyo sa tagdumala nga modagan ug nagmalampuson sa pagkuha niini. Kung ang usa ka tiggamit nagpadagan sa usa ka aplikasyon o proseso ingon administrador, mahimo kini. Ang Type 3 (%%1938) nagpasabot nga ang proseso nakadawat lamang sa mga katungod nga gikinahanglan sa pagbuhat sa gihangyo nga aksyon, bisan pa nga kini nangayo ug taas nga mga pribilehiyo.

• • Mandatory Label: usa ka label sa integridad nga gihatag sa proseso. 
  • ID sa Proseso sa Magbubuhat: usa ka talagsaon nga hexadecimal nga kantidad nga gihatag sa proseso nga nagsugod sa bag-ong proseso. 
  • Ngalan sa Proseso sa Magbubuhat: bug-os nga agianan ug ngalan sa proseso nga nagmugna sa bag-ong proseso.
  • Process Command Line: naghatag og mga detalye mahitungod sa mga argumento nga gipasa ngadto sa sugo aron sa pagsugod sa bag-ong proseso. Naglakip kini sa daghang mga subfield lakip ang karon nga direktoryo ug mga hash.