तपासामध्ये विंडोज सिक्युरिटी इव्हेंट आयडी 4688 चा अर्थ कसा लावायचा
परिचय
त्यानुसार मायक्रोसॉफ्ट, इव्हेंट आयडी (ज्याला इव्हेंट आयडेंटिफायर देखील म्हणतात) विशिष्ट इव्हेंट ओळखतात. हे Windows ऑपरेटिंग सिस्टमद्वारे लॉग केलेल्या प्रत्येक इव्हेंटशी संलग्न केलेले एक संख्यात्मक अभिज्ञापक आहे. ओळखकर्ता प्रदान करतो माहिती घडलेल्या घटनेबद्दल आणि सिस्टम ऑपरेशन्सशी संबंधित समस्या ओळखण्यासाठी आणि समस्यानिवारण करण्यासाठी वापरला जाऊ शकतो. इव्हेंट, या संदर्भात, सिस्टम किंवा सिस्टमवरील वापरकर्त्याद्वारे केलेल्या कोणत्याही क्रियेचा संदर्भ देते. इव्हेंट व्ह्यूअर वापरून हे इव्हेंट विंडोजवर पाहता येतात
जेव्हा नवीन प्रक्रिया तयार केली जाते तेव्हा इव्हेंट आयडी 4688 लॉग केला जातो. हे मशीनद्वारे कार्यान्वित केलेल्या प्रत्येक प्रोग्रामचे दस्तऐवजीकरण करते आणि त्याचा ओळखणारा डेटा, ज्यामध्ये निर्माता, लक्ष्य आणि ती सुरू केलेली प्रक्रिया समाविष्ट आहे. इव्हेंट आयडी 4688 अंतर्गत अनेक इव्हेंट लॉग इन केले जातात. लॉग इन केल्यावर, सेशन मॅनेजर सबसिस्टम (SMSS.exe) लाँच केले जाते आणि इव्हेंट 4688 लॉग इन केले जाते. एखादी प्रणाली मालवेअरने संक्रमित झाल्यास, मालवेअर चालविण्यासाठी नवीन प्रक्रिया तयार करण्याची शक्यता असते. अशा प्रक्रिया आयडी 4688 अंतर्गत दस्तऐवजीकरण केल्या जातील.
इव्हेंट आयडी ४६८८ चा अर्थ लावणे
इव्हेंट आयडी 4688 चा अर्थ लावण्यासाठी, इव्हेंट लॉगमध्ये समाविष्ट केलेले विविध फील्ड समजून घेणे आवश्यक आहे. या फील्डचा वापर कोणत्याही अनियमितता शोधण्यासाठी आणि प्रक्रियेच्या मूळ स्त्रोताकडे परत जाण्यासाठी केला जाऊ शकतो.
- निर्माता विषय: हे फील्ड वापरकर्ता खात्याबद्दल माहिती प्रदान करते ज्याने नवीन प्रक्रिया तयार करण्याची विनंती केली आहे. हे क्षेत्र संदर्भ प्रदान करते आणि फॉरेन्सिक अन्वेषकांना विसंगती ओळखण्यात मदत करू शकते. यात अनेक उपक्षेत्रे समाविष्ट आहेत, यासह:
-
- सिक्युरिटी आयडेंटिफायर (SID)” नुसार मायक्रोसॉफ्ट, SID हे विश्वस्त ओळखण्यासाठी वापरले जाणारे एक अद्वितीय मूल्य आहे. हे विंडोज मशीनवरील वापरकर्त्यांना ओळखण्यासाठी वापरले जाते.
- खात्याचे नाव: नवीन प्रक्रिया सुरू करणाऱ्या खात्याचे नाव दर्शविण्यासाठी SID ने निराकरण केले आहे.
- खाते डोमेन: संगणक ज्या डोमेनशी संबंधित आहे.
- लॉगऑन आयडी: एक अद्वितीय हेक्साडेसिमल मूल्य जे वापरकर्त्याचे लॉगऑन सत्र ओळखण्यासाठी वापरले जाते. हे समान इव्हेंट आयडी असलेल्या इव्हेंटशी सहसंबंधित करण्यासाठी वापरले जाऊ शकते.
- लक्ष्य विषय: हे फील्ड वापरकर्ता खात्याची माहिती प्रदान करते ज्या अंतर्गत प्रक्रिया चालू आहे. प्रक्रिया निर्मिती इव्हेंटमध्ये नमूद केलेला विषय, काही परिस्थितींमध्ये, प्रक्रिया समाप्ती इव्हेंटमध्ये नमूद केलेल्या विषयापेक्षा वेगळा असू शकतो. म्हणून, जेव्हा निर्माता आणि लक्ष्य यांचे लॉगऑन समान नसते, तेव्हा लक्ष्य विषय समाविष्ट करणे महत्वाचे आहे जरी ते दोघे समान प्रक्रिया आयडी संदर्भित करतात. उपक्षेत्रे वरील निर्मात्याच्या विषयाप्रमाणेच आहेत.
- प्रक्रिया माहिती: हे फील्ड तयार केलेल्या प्रक्रियेबद्दल तपशीलवार माहिती प्रदान करते. यात अनेक उपक्षेत्रे समाविष्ट आहेत, यासह:
-
- नवीन प्रक्रिया आयडी (पीआयडी): नवीन प्रक्रियेसाठी नियुक्त केलेले एक अद्वितीय हेक्साडेसिमल मूल्य. विंडोज ऑपरेटिंग सिस्टम सक्रिय प्रक्रियांचा मागोवा ठेवण्यासाठी याचा वापर करते.
- नवीन प्रक्रियेचे नाव: एक्झिक्युटेबल फाइलचा पूर्ण मार्ग आणि नाव जी नवीन प्रक्रिया तयार करण्यासाठी लाँच केली गेली होती.
- टोकन मूल्यमापन प्रकार: टोकन मूल्यमापन ही एक सुरक्षा यंत्रणा आहे जी वापरकर्ता खाते विशिष्ट क्रिया करण्यासाठी अधिकृत आहे की नाही हे निर्धारित करण्यासाठी Windows द्वारे नियुक्त केले जाते. उन्नत विशेषाधिकारांची विनंती करण्यासाठी प्रक्रिया ज्या टोकनचा प्रकार वापरेल त्याला “टोकन मूल्यांकन प्रकार” म्हणतात. या फील्डसाठी तीन संभाव्य मूल्ये आहेत. प्रकार 1 (%%1936) सूचित करते की प्रक्रिया डीफॉल्ट वापरकर्ता टोकन वापरत आहे आणि कोणत्याही विशेष परवानग्यांसाठी विनंती केलेली नाही. या फील्डसाठी, हे सर्वात सामान्य मूल्य आहे. प्रकार 2 (%%1937) सूचित करते की प्रक्रियेने पूर्ण प्रशासक विशेषाधिकारांची विनंती केली होती आणि ती प्राप्त करण्यात यशस्वी झाली. जेव्हा वापरकर्ता प्रशासक म्हणून अनुप्रयोग किंवा प्रक्रिया चालवतो तेव्हा तो सक्षम केला जातो. Type 3 (%%1938) सूचित करते की प्रक्रियेला केवळ विनंती केलेली क्रिया पार पाडण्यासाठी आवश्यक अधिकार प्राप्त झाले आहेत, जरी तिने उन्नत विशेषाधिकारांची विनंती केली असली तरीही.
-
- अनिवार्य लेबल: प्रक्रियेसाठी नियुक्त केलेले अखंडता लेबल.
- क्रिएटर प्रोसेस आयडी: नवीन प्रक्रिया सुरू करणाऱ्या प्रक्रियेला नियुक्त केलेले एक अद्वितीय हेक्साडेसिमल मूल्य.
- क्रिएटर प्रक्रियेचे नाव: संपूर्ण मार्ग आणि नवीन प्रक्रिया तयार केलेल्या प्रक्रियेचे नाव.
- प्रोसेस कमांड लाइन: नवीन प्रक्रिया सुरू करण्यासाठी कमांडमध्ये पास केलेल्या वितर्कांबद्दल तपशील प्रदान करते. यात वर्तमान निर्देशिका आणि हॅशसह अनेक उपक्षेत्रे समाविष्ट आहेत.
निष्कर्ष
एखाद्या प्रक्रियेचे विश्लेषण करताना, ती कायदेशीर आहे की दुर्भावनापूर्ण आहे हे निर्धारित करणे आवश्यक आहे. निर्माता विषय आणि प्रक्रिया माहिती फील्ड पाहून कायदेशीर प्रक्रिया सहजपणे ओळखली जाऊ शकते. प्रक्रिया आयडी विसंगती ओळखण्यासाठी वापरला जाऊ शकतो, जसे की असामान्य पालक प्रक्रियेतून नवीन प्रक्रिया तयार केली जाते. कमांड लाइनचा वापर प्रक्रियेची वैधता सत्यापित करण्यासाठी देखील केला जाऊ शकतो. उदाहरणार्थ, वितर्क असलेली प्रक्रिया ज्यामध्ये संवेदनशील डेटाचा फाईल मार्ग समाविष्ट असतो तो दुर्भावनापूर्ण हेतू दर्शवू शकतो. क्रिएटर विषय फील्ड वापरकर्ता खाते संशयास्पद गतिविधीशी संबंधित आहे किंवा त्याला विशेषाधिकार आहेत हे निर्धारित करण्यासाठी वापरले जाऊ शकते.
शिवाय, नव्याने तयार केलेल्या प्रक्रियेबद्दल संदर्भ मिळवण्यासाठी इव्हेंट आयडी 4688 ला सिस्टीममधील इतर संबंधित इव्हेंट्सशी परस्परसंबंधित करणे महत्त्वाचे आहे. नवीन प्रक्रिया कोणत्याही नेटवर्क कनेक्शनशी संबंधित आहे की नाही हे निर्धारित करण्यासाठी इव्हेंट आयडी 4688 5156 शी सहसंबंधित केला जाऊ शकतो. नवीन प्रक्रिया नवीन स्थापित केलेल्या सेवेशी संबंधित असल्यास, अतिरिक्त माहिती प्रदान करण्यासाठी इव्हेंट 4697 (सेवा स्थापना) 4688 शी संबंधित असू शकते. इव्हेंट आयडी 5140 (फाइल निर्मिती) नवीन प्रक्रियेद्वारे तयार केलेल्या कोणत्याही नवीन फाइल्स ओळखण्यासाठी देखील वापरला जाऊ शकतो.
शेवटी, प्रणालीचा संदर्भ समजून घेणे म्हणजे संभाव्यता निश्चित करणे परिणाम प्रक्रियेचे. गंभीर सर्व्हरवर सुरू केलेल्या प्रक्रियेचा स्टँडअलोन मशीनवर सुरू केलेल्या प्रक्रियेपेक्षा जास्त परिणाम होण्याची शक्यता असते. संदर्भ तपासाला दिशा देण्यास, प्रतिसादाला प्राधान्य देण्यास आणि संसाधने व्यवस्थापित करण्यात मदत करते. इव्हेंट लॉगमधील विविध फील्डचे विश्लेषण करून आणि इतर घटनांशी सहसंबंध साधून, विसंगत प्रक्रिया त्यांच्या उत्पत्तीचा आणि कारण निश्चित केल्या जाऊ शकतात.
