የዊንዶውስ ደህንነት ክስተት መታወቂያ 4688ን በምርመራ እንዴት እንደሚተረጎም
መግቢያ
አጭጮርዲንግ ቶ Microsoft፣ የክስተት መታወቂያዎች (የክስተት መለያዎች ተብለውም ይጠራሉ) አንድን ክስተት በልዩ ሁኔታ ይለያሉ። በዊንዶውስ ኦፐሬቲንግ ሲስተም ከተመዘገበው እያንዳንዱ ክስተት ጋር የተያያዘ የቁጥር መለያ ነው። መለያው ያቀርባል መረጃ ስለተከሰተው ክስተት እና ከስርዓት ስራዎች ጋር የተያያዙ ችግሮችን ለመለየት እና ለመፍታት ሊያገለግል ይችላል. አንድ ክስተት፣ በዚህ አውድ ውስጥ፣ በስርአቱ ወይም በተጠቃሚ በስርአቱ ላይ የሚፈፀመውን ማንኛውንም ተግባር ያመለክታል። እነዚህ ክስተቶች የክስተት መመልከቻን በመጠቀም በዊንዶው ላይ ሊታዩ ይችላሉ።
የክስተት መታወቂያ 4688 አዲስ ሂደት በተፈጠረ ቁጥር ተመዝግቧል። በማሽኑ የተከናወነውን እያንዳንዱን ፕሮግራም እና የመለያ መረጃውን፣ ፈጣሪውን፣ ዒላማውን እና የጀመረውን ሂደት ጨምሮ ይመዘግባል። በርካታ ዝግጅቶች በክስተት መታወቂያ 4688 ተመዝግበዋል። ሲገቡ የሴሴሽን አስተዳዳሪ ንዑስ ሲስተም (SMSS.exe) ተጀምሯል እና ክስተት 4688 ገብቷል። አንድ ስርዓት በማልዌር ከተያዘ ማልዌር አዳዲስ ሂደቶችን ሊፈጥር ይችላል። እንደነዚህ ያሉ ሂደቶች መታወቂያ 4688 ስር ይመዘገባሉ.
የክስተት መታወቂያ 4688 መተርጎም
የክስተት መታወቂያ 4688ን ለመተርጎም በክስተቱ መዝገብ ውስጥ የተካተቱትን የተለያዩ መስኮች መረዳት አስፈላጊ ነው። እነዚህ መስኮች ማናቸውንም ጉድለቶች ለመለየት እና የሂደቱን አመጣጥ ወደ ምንጩ ለመከታተል ሊያገለግሉ ይችላሉ።
- የፈጣሪ ርዕሰ ጉዳይ፡ ይህ መስክ አዲስ ሂደት እንዲፈጠር ስለጠየቀው የተጠቃሚ መለያ መረጃ ይሰጣል። ይህ መስክ አውድ ያቀርባል እና የፎረንሲክ መርማሪዎች ያልተለመዱ ነገሮችን እንዲለዩ ሊረዳቸው ይችላል። እሱ የሚከተሉትን ጨምሮ በርካታ ንዑስ መስኮችን ያካትታል።
-
- የደህንነት መለያ (SID)” እንደሚለው Microsoft፣ SID ባለአደራን ለመለየት የሚያገለግል ልዩ እሴት ነው። በዊንዶውስ ማሽን ላይ ተጠቃሚዎችን ለመለየት ጥቅም ላይ ይውላል.
- መለያ ስም፡ SID የአዲሱን ሂደት መፈጠር የጀመረውን መለያ ስም ለማሳየት ተወስኗል።
- መለያ ጎራ፡ ኮምፒዩተሩ ያለበት ጎራ።
- የመግቢያ መታወቂያ፡ ልዩ ሄክሳዴሲማል የተጠቃሚውን የሎግ ክፍለ ጊዜ ለመለየት የሚያገለግል ነው። ተመሳሳይ የክስተት መታወቂያ የያዙ ክስተቶችን ለማዛመድ ጥቅም ላይ ሊውል ይችላል።
- የዒላማው ርዕሰ ጉዳይ፡ ይህ መስክ ሂደቱ በስር እየሄደ ስላለው የተጠቃሚ መለያ መረጃ ይሰጣል። በሂደቱ የፍጥረት ክስተት ውስጥ የተጠቀሰው ርዕሰ ጉዳይ, በአንዳንድ ሁኔታዎች, በሂደቱ ማብቂያ ክስተት ውስጥ ከተጠቀሰው ርዕሰ ጉዳይ የተለየ ሊሆን ይችላል. ስለዚህ ፈጣሪ እና ኢላማው አንድ አይነት ሎጎን ከሌላቸው፣ ሁለቱም አንድ አይነት የሂደት መታወቂያ ቢጠቅሱም የታለመውን ርዕሰ ጉዳይ ማካተት አስፈላጊ ነው። ንዑስ መስኮች ከላይ ካለው የፈጣሪው ርዕሰ ጉዳይ ጋር ተመሳሳይ ናቸው።
- የሂደት መረጃ፡ ይህ መስክ ስለተፈጠረው ሂደት ዝርዝር መረጃ ይሰጣል። እሱ የሚከተሉትን ጨምሮ በርካታ ንዑስ መስኮችን ያካትታል።
-
- አዲስ የሂደት መታወቂያ (PID)፡ ለአዲሱ ሂደት የተመደበ ልዩ ሄክሳዴሲማል እሴት። የዊንዶውስ ኦፐሬቲንግ ሲስተም ንቁ ሂደቶችን ለመከታተል ይጠቀምበታል.
- አዲስ የሂደት ስም፡ አዲሱን ሂደት ለመፍጠር የጀመረው የተፈፃሚው ፋይል ሙሉ መንገድ እና ስም።
- Token Evaluation Type: token evaluation በዊንዶውስ የተቀጠረ የደህንነት ዘዴ የተጠቃሚ መለያ አንድ የተወሰነ ተግባር እንዲፈጽም ፍቃድ ተሰጥቶት እንደሆነ ለማወቅ ነው። ከፍ ያለ ልዩ መብቶችን ለመጠየቅ ሂደት የሚጠቀመው የማስመሰያ አይነት “የማስመሰያ ግምገማ አይነት” ይባላል። ለዚህ መስክ ሦስት ሊሆኑ የሚችሉ እሴቶች አሉ። ዓይነት 1 (%%1936) ሂደቱ ነባሪውን የተጠቃሚ ማስመሰያ እየተጠቀመ መሆኑን እና ምንም ልዩ ፍቃዶችን እንዳልጠየቀ ያሳያል። ለዚህ መስክ, በጣም የተለመደው እሴት ነው. ዓይነት 2 (%%1937) ሂደቱ ለማሄድ ሙሉ የአስተዳዳሪ ልዩ መብቶችን ጠይቋል እና እነሱን በማግኘቱ የተሳካ መሆኑን ያሳያል። አንድ ተጠቃሚ መተግበሪያን ሲያሄድ ወይም እንደ አስተዳዳሪ ሲያሄድ ነቅቷል። ዓይነት 3 (%%1938) የሚያመለክተው ሂደቱ የተጠየቀውን እርምጃ ለመፈጸም የሚያስፈልጉትን መብቶች ብቻ ማግኘቱን ነው፣ ምንም እንኳን ከፍ ያለ ልዩ መብቶችን ቢጠይቅም።
-
- የግዴታ መለያ፡ ለሂደቱ የተመደበ የአቋም መለያ።
- የፈጣሪ ሂደት መታወቂያ፡ አዲሱን ሂደት ለጀመረው ሂደት የተመደበ ልዩ ሄክሳዴሲማል እሴት።
- የፈጣሪ ሂደት ስም፡ አዲሱን ሂደት የፈጠረው የሂደቱ ሙሉ መንገድ እና ስም።
- የሂደት ትዕዛዝ መስመር፡ አዲሱን ሂደት ለመጀመር በትእዛዙ ውስጥ ስላለፉት ክርክሮች ዝርዝሮችን ይሰጣል። የአሁኑን ማውጫ እና hashes ጨምሮ በርካታ ንዑስ መስኮችን ያካትታል።
መደምደሚያ
አንድ ሂደት ሲተነተን ህጋዊ ወይም ተንኮል አዘል መሆኑን መወሰን አስፈላጊ ነው። የፈጣሪን ርእሰ ጉዳይ በመመልከት እና የመረጃ መስኮችን በማካሄድ ህጋዊ ሂደት በቀላሉ ሊታወቅ ይችላል። የሂደት መታወቂያ ያልተለመዱ ነገሮችን ለመለየት ጥቅም ላይ ሊውል ይችላል፣ ለምሳሌ አዲስ ሂደት ከወትሮው የወላጅ ሂደት የመነጨ ነው። የትእዛዝ መስመሩ የሂደቱን ህጋዊነት ለማረጋገጥም ጥቅም ላይ ሊውል ይችላል። ለምሳሌ፣ ሚስጥራዊ መረጃዎችን የሚወስድ የፋይል መንገድን የሚያጠቃልል ነጋሪ እሴት ያለው ሂደት ተንኮል አዘል ዓላማን ሊያመለክት ይችላል። የተጠቃሚ መለያው ከአጠራጣሪ እንቅስቃሴ ጋር የተቆራኘ መሆኑን ወይም ከፍ ያለ ልዩ መብቶች እንዳሉት ለማወቅ የፈጣሪ ርእሰ ጉዳይ መስክ መጠቀም ይቻላል።
በተጨማሪም፣ አዲስ የተፈጠረውን ሂደት በተመለከተ የክስተት መታወቂያ 4688ን ከሌሎች በስርዓቱ ውስጥ ካሉ አግባብነት ያላቸው ክንውኖች ጋር ማዛመድ አስፈላጊ ነው። አዲሱ ሂደት ከማንኛውም የአውታረ መረብ ግንኙነት ጋር የተገናኘ መሆኑን ለማወቅ የክስተት መታወቂያ 4688 ከ5156 ጋር ሊዛመድ ይችላል። አዲሱ ሂደት አዲስ ከተጫነ አገልግሎት ጋር የተያያዘ ከሆነ፣ ተጨማሪ መረጃ ለመስጠት ዝግጅት 4697 (አገልግሎት ጭነት) ከ 4688 ጋር ሊዛመድ ይችላል። የክስተት መታወቂያ 5140 (ፋይል መፍጠር) በአዲሱ ሂደት የተፈጠሩ ማናቸውንም አዲስ ፋይሎች ለመለየት ጥቅም ላይ ሊውል ይችላል።
በማጠቃለያው የስርዓቱን አውድ መረዳት አቅምን መወሰን ነው። ተፅዕኖ የሂደቱ. በወሳኝ አገልጋይ ላይ የተጀመረ ሂደት ራሱን የቻለ ማሽን ላይ ከተነሳው የበለጠ ተጽእኖ ይኖረዋል። አውድ ምርመራውን ለመምራት፣ ለምላሽ ቅድሚያ ለመስጠት እና ሀብቶችን ለማስተዳደር ይረዳል። በክስተቱ ምዝግብ ማስታወሻ ውስጥ ያሉትን የተለያዩ መስኮችን በመተንተን እና ከሌሎች ክስተቶች ጋር ያለውን ግንኙነት በመፈፀም ያልተለመዱ ሂደቶችን መነሻቸው እና መንስኤውን ማወቅ ይቻላል.
