Yuav txhais li cas Windows Security Event ID 4688 hauv Kev Tshawb Fawb
Introduction
raws li Microsoft, event IDs (tseem hu ua event identifiers) tshwj xeeb txheeb xyuas qhov xwm txheej tshwj xeeb. Nws yog tus lej cim uas txuas rau txhua qhov xwm txheej uas tau teev tseg los ntawm Windows operating system. Tus ID muab ntaub ntawv hais txog qhov xwm txheej uas tshwm sim thiab tuaj yeem siv los txheeb xyuas thiab daws teeb meem ntsig txog kev ua haujlwm hauv lub cev. Ib qho xwm txheej, hauv cov ntsiab lus no, hais txog ib qho kev ua los ntawm lub kaw lus lossis tus neeg siv ntawm qhov system. Cov xwm txheej no tuaj yeem pom ntawm Windows siv Event Viewer
Qhov xwm txheej ID 4688 tau nkag thaum twg tsim cov txheej txheem tshiab. Nws sau txhua qhov kev pab cuam ua tiav los ntawm lub tshuab thiab nws cov ntaub ntawv txheeb xyuas, suav nrog tus tsim, lub hom phiaj, thiab cov txheej txheem uas pib nws. Ob peb txheej xwm tau teev nyob rau hauv qhov xwm txheej ID 4688. Thaum nkag mus, Session Manager Subsystem (SMSS.exe) tau pib, thiab kev tshwm sim 4688 tau nkag. Yog tias lub kaw lus raug kab mob los ntawm malware, malware yuav tsim cov txheej txheem tshiab los khiav. Cov txheej txheem zoo li no yuav raug sau tseg raws li ID 4688.
Txhais Event ID 4688
Txhawm rau txhais cov xwm txheej ID 4688, nws yog ib qho tseem ceeb kom nkag siab txog qhov sib txawv ntawm qhov kev tshwm sim. Cov teb no tuaj yeem siv los txheeb xyuas qhov tsis sib xws thiab taug qab lub hauv paus ntawm cov txheej txheem rov qab mus rau nws qhov chaw.
- Creator Subject: Daim teb no muab cov ntaub ntawv hais txog tus neeg siv nyiaj uas tau thov kom tsim cov txheej txheem tshiab. Daim teb no muab cov ntsiab lus thiab tuaj yeem pab cov kws tshawb nrhiav kev tshawb fawb txheeb xyuas qhov tsis txaus ntseeg. Nws suav nrog ntau lub subfields, suav nrog:
- Security Identifier (SID)” Raws li Microsoft, SID yog tus nqi tshwj xeeb siv los txheeb xyuas tus neeg sawv cev. Nws yog siv los txheeb xyuas cov neeg siv ntawm lub tshuab Windows.
- Lub Npe Lub Npe: SID tau txiav txim siab los qhia lub npe ntawm tus as khauj uas pib tsim cov txheej txheem tshiab.
- Account Domain: tus sau lub computer belongs rau.
- Logon ID: tus nqi hexadecimal tshwj xeeb uas yog siv los txheeb xyuas tus neeg siv lub logon kev sib ntsib. Nws tuaj yeem siv los txheeb xyuas cov xwm txheej uas muaj tib yam xwm txheej ID.
- Lub Hom Phiaj Kawm: daim teb no muab cov ntaub ntawv hais txog tus neeg siv nyiaj tus txheej txheem tab tom ua haujlwm. Cov ntsiab lus hais nyob rau hauv tus txheej txheem tsim kev tshwm sim tuaj yeem, qee qhov xwm txheej, txawv ntawm cov ntsiab lus hais hauv cov txheej txheem kev txiav tawm. Yog li, thaum tus tsim thiab lub hom phiaj tsis muaj tib lub logon, nws yog ib qho tseem ceeb kom suav nrog cov hom phiaj txawm tias lawv ob leeg siv tib tus txheej txheem ID. Cov subfields yog tib yam li cov neeg tsim cov ntsiab lus saum toj no.
- Cov Ntaub Ntawv Txheej Txheem: daim teb no muab cov ncauj lus kom ntxaws txog cov txheej txheem tsim. Nws suav nrog ntau lub subfields, suav nrog:
- Tus Txheej Txheem Tshiab ID (PID): tus nqi hexadecimal tshwj xeeb muab rau tus txheej txheem tshiab. Lub Windows operating system siv nws los taug qab cov txheej txheem nquag.
- Lub Npe Txheej Txheem Tshiab: tag nrho txoj hauv kev thiab lub npe ntawm cov ntaub ntawv executable uas tau tsim los tsim cov txheej txheem tshiab.
- Token Evaluation Type: Kev ntsuam xyuas token yog kev ruaj ntseg mechanism ua haujlwm los ntawm Windows los txiav txim siab seb tus neeg siv nyiaj tau tso cai los ua ib qho haujlwm tshwj xeeb. Hom token tus txheej txheem yuav siv los thov cov cai tsim nyog hu ua "token evaluation type." Muaj peb qhov tseem ceeb rau daim teb no. Hom 1 (%% 1936) qhia tias cov txheej txheem yog siv lub neej ntawd tus neeg siv token thiab tsis tau thov kev tso cai tshwj xeeb. Rau daim teb no, nws yog tus nqi tshaj plaws. Hom 2 (%% 1937) txhais tau hais tias cov txheej txheem thov kom muaj cai tswj hwm tag nrho los khiav thiab ua tiav kom tau txais lawv. Thaum tus neeg siv khiav ib daim ntawv thov lossis txheej txheem ua tus thawj coj, nws tau qhib. Hom 3 (%% 1938) txhais tau hais tias tus txheej txheem tsuas yog tau txais cov cai uas yuav tsum tau ua raws li qhov kev thov, txawm hais tias nws tau thov kom muaj cai nce.
- Yuav Tsum Tau Sau Npe: ib daim ntawv qhia kev ncaj ncees muab rau tus txheej txheem.
- Tus Tsim Txheej Txheem ID: tus nqi hexadecimal tshwj xeeb muab rau cov txheej txheem uas pib txheej txheem tshiab.
- Creator Process Name: tag nrho txoj kev thiab lub npe ntawm tus txheej txheem uas tsim cov txheej txheem tshiab.
- Txheej Txheem Kab hais kom ua: muab cov ntsiab lus hais txog cov lus sib cav dhau mus rau hauv cov lus txib kom pib txheej txheem tshiab. Nws suav nrog ntau qhov subfields suav nrog cov npe tam sim no thiab hashes.
xaus
Thaum txheeb xyuas cov txheej txheem, nws yog ib qho tseem ceeb los txiav txim siab seb nws puas raug cai lossis ua phem. Cov txheej txheem raug cai tuaj yeem txheeb xyuas tau yooj yim los ntawm kev saib tus tsim cov ntsiab lus thiab cov txheej txheem cov ntaub ntawv. Tus txheej txheem ID tuaj yeem siv los txheeb xyuas qhov tsis txaus ntseeg, xws li cov txheej txheem tshiab tau tsim los ntawm cov txheej txheem niam txiv txawv txawv. Cov kab hais kom ua kuj tuaj yeem siv los txheeb xyuas qhov tseeb ntawm cov txheej txheem. Piv txwv li, cov txheej txheem nrog cov lus sib cav uas suav nrog txoj hauv kev rau cov ntaub ntawv rhiab tuaj yeem ua rau muaj kev xav phem. Daim teb Creator Subject tuaj yeem siv los txiav txim seb tus neeg siv tus account cuam tshuam nrog cov haujlwm tsis txaus ntseeg lossis muaj cai nce siab.
Tsis tas li ntawd, nws yog ib qho tseem ceeb uas yuav tau txheeb xyuas qhov xwm txheej ID 4688 nrog rau lwm cov xwm txheej cuam tshuam hauv lub cev kom tau txais cov ntsiab lus ntawm cov txheej txheem tsim tshiab. Kev tshwm sim ID 4688 tuaj yeem cuam tshuam nrog 5156 los txiav txim siab yog tias cov txheej txheem tshiab cuam tshuam nrog kev sib txuas hauv network. Yog tias cov txheej txheem tshiab cuam tshuam nrog cov kev pabcuam tshiab, kev tshwm sim 4697 (kev pabcuam nruab) tuaj yeem cuam tshuam nrog 4688 los muab cov ntaub ntawv ntxiv. Event ID 5140 (cov ntaub ntawv tsim tawm) kuj tuaj yeem siv los txheeb xyuas cov ntaub ntawv tshiab tsim los ntawm cov txheej txheem tshiab.
Hauv kev xaus, kev nkag siab txog cov ntsiab lus ntawm qhov system yog los txiav txim qhov muaj peev xwm kev cuam tshuam ntawm tus txheej txheem. Cov txheej txheem pib ntawm lub server tseem ceeb yuav muaj kev cuam tshuam ntau dua li ib qho pib ntawm lub tshuab standalone. Cov ntsiab lus pab qhia qhov kev tshawb nrhiav, ua ntej cov lus teb thiab tswj cov peev txheej. Los ntawm kev txheeb xyuas qhov sib txawv ntawm qhov kev tshwm sim thiab kev sib raug zoo nrog lwm cov xwm txheej, cov txheej txheem tsis zoo tuaj yeem txheeb xyuas lawv cov keeb kwm thiab qhov ua rau txiav txim siab.
