A 4688-as Windows biztonsági eseményazonosító értelmezése egy vizsgálat során

A 4688-as eseményazonosító értelmezéséhez fontos megérteni az eseménynaplóban szereplő különböző mezőket. Ezek a mezők használhatók bármilyen szabálytalanság észlelésére és a folyamat eredetének visszakövetésére a forrásig.

• Alkotó tárgya: ez a mező arról a felhasználói fiókról nyújt információt, amely új folyamat létrehozását kérte. Ez a mező kontextust biztosít, és segíthet a törvényszéki nyomozóknak az anomáliák azonosításában. Számos almezőt tartalmaz, többek között:

• • Biztonsági azonosító (SID)” Aszerint microsoft, a SID egy egyedi érték, amely a megbízott azonosítására szolgál. A felhasználók azonosítására szolgál a Windows gépen.
  • Fióknév: a SID feloldása annak a fióknak a nevét mutatja, amelyik kezdeményezte az új folyamat létrehozását.
  • Fióktartomány: az a tartomány, amelyhez a számítógép tartozik.
  • Bejelentkezési azonosító: egyedi hexadecimális érték, amely a felhasználó bejelentkezési munkamenetének azonosítására szolgál. Használható olyan események korrelálására, amelyek ugyanazt az eseményazonosítót tartalmazzák.

• Target Subject: ez a mező a folyamat alatt futó felhasználói fiókkal kapcsolatos információkat tartalmaz. A folyamatlétrehozási eseményben említett téma bizonyos körülmények között eltérhet a folyamatleállítási eseményben említett alanytól. Tehát, ha az alkotó és a cél nem ugyanazzal a bejelentkezési azonosítóval rendelkezik, fontos, hogy a céltárgyat is tartalmazza, még akkor is, ha mindkettő ugyanarra a folyamatazonosítóra hivatkozik. Az almezők megegyeznek a fenti alkotó alanyéval.
• Folyamat információ: ez a mező részletes információkat tartalmaz a létrehozott folyamatról. Számos almezőt tartalmaz, többek között:

• • Új folyamatazonosító (PID): az új folyamathoz rendelt egyedi hexadecimális érték. A Windows operációs rendszer ezt használja az aktív folyamatok nyomon követésére.
  • Új folyamat neve: az új folyamat létrehozásához elindított végrehajtható fájl teljes elérési útja és neve.
  • Token Evaluation Type: a jogkivonat kiértékelése a Windows által használt biztonsági mechanizmus annak meghatározására, hogy egy felhasználói fiók jogosult-e egy adott művelet végrehajtására. A token típusát, amelyet a folyamat emelt szintű jogosultságok kérésére használ, „token kiértékelési típusnak” nevezik. Ennek a mezőnek három lehetséges értéke van. Az 1-es típus (%%1936) azt jelzi, hogy a folyamat az alapértelmezett felhasználói tokent használja, és nem kért semmilyen különleges engedélyt. Ennél a mezőnél ez a leggyakoribb érték. A 2-es típus (%%1937) azt jelzi, hogy a folyamat teljes rendszergazdai jogosultságokat kért a futtatáshoz, és sikeresen megszerezte azokat. Amikor a felhasználó rendszergazdaként futtat egy alkalmazást vagy folyamatot, az engedélyezve van. A 3-as típus (%%1938) azt jelzi, hogy a folyamat csak a kért művelet végrehajtásához szükséges jogokat kapta meg, annak ellenére, hogy emelt szintű jogosultságokat kért.

• • Kötelező címke: a folyamathoz rendelt integritáscímke. 
  • Creator Process ID: az új folyamatot elindító folyamathoz rendelt egyedi hexadecimális érték. 
  • Létrehozói folyamat neve: az új folyamatot létrehozó folyamat teljes elérési útja és neve.
  • Process Command Line: az új folyamat elindításához szükséges parancsba átadott argumentumok részleteit tartalmazza. Számos almezőt tartalmaz, beleértve az aktuális könyvtárat és a hash-eket.