ווי צו ינטערפּריט Windows Security Event ID 4688 אין אַן ויספאָרשונג

אין סדר צו טייַטשן געשעעניש ID 4688, עס איז וויכטיק צו פֿאַרשטיין די פאַרשידענע פעלדער אַרייַנגערעכנט אין די געשעעניש קלאָץ. די פעלדער קענען ווערן גענוצט צו דעטעקט קיין ירעגיאַלעראַטיז און שפּור די אָנהייב פון אַ פּראָצעס צוריק צו זיין מקור.

• באשעפער טעמע: דעם פעלד גיט אינפֿאָרמאַציע וועגן דעם באַניצער חשבון וואָס האָט געבעטן די שאַפונג פון אַ נייַע פּראָצעס. דאָס פעלד גיט קאָנטעקסט און קענען העלפֿן פאָרענסיק ינוועסטאַגייטערז צו ידענטיפיצירן אַנאַמאַליז. עס כולל עטלעכע סובפיעלדס, אַרייַנגערעכנט:

• • Security Identifier (SID)" לויט צו מייקראָסאָפֿט, די SID איז אַ יינציק ווערט געניצט צו ידענטיפיצירן אַ טראַסטי. עס איז געניצט צו ידענטיפיצירן ניצערס אויף די Windows מאַשין.
  • אַקאַונט נאָמען: די SID איז ריזאַלווד צו ווייַזן די נאָמען פון די חשבון וואָס ינישיייטיד די שאַפונג פון די נייַע פּראָצעס.
  • אַקאַונט דאָמאַין: די פעלד צו די קאָמפּיוטער.
  • לאָגאָן שייַן: אַ יינציק כעקסאַדעסימאַל ווערט וואָס איז געניצט צו ידענטיפיצירן די באַניצער ס לאָגאָן סעסיע. עס קענען זיין געוויינט צו קאָראַלייט געשעענישן וואָס אַנטהאַלטן די זעלבע געשעעניש שייַן.

• ציל טעמע: דעם פעלד גיט אינפֿאָרמאַציע וועגן דעם באַניצער חשבון אונטער דעם פּראָצעס. די ונטערטעניק דערמאנט אין דער פּראָצעס שאַפונג געשעעניש קען, אין עטלעכע צושטאנדן, זיין אַנדערש פון די ונטערטעניק דערמאנט אין די פּראָצעס טערמאַניישאַן געשעעניש. אַזוי, ווען דער באשעפער און דער ציל טאָן ניט האָבן די זעלבע לאָגאָן, עס איז וויכטיק צו אַרייַננעמען די ציל ונטערטעניק כאָטש זיי ביידע דערמאָנען די זעלבע פּראָצעס שייַן. די סובפיעלדס זענען די זעלבע ווי די פון די באשעפער ונטערטעניק אויבן.
• פּראָצעס אינפֿאָרמאַציע: דעם פעלד גיט דיטיילד אינפֿאָרמאַציע וועגן די באשאפן פּראָצעס. עס כולל עטלעכע סובפיעלדס, אַרייַנגערעכנט:

• • New Process ID (PID): אַ יינציק כעקסאַדעסימאַל ווערט אַסיינד צו די נייַע פּראָצעס. די Windows אָפּערייטינג סיסטעם ניצט עס צו האַלטן שפּור פון אַקטיוו פּראַסעסאַז.
  • ניו פּראָצעס נאָמען: די פול דרך און נאָמען פון די עקסעקוטאַבלע טעקע וואָס איז געווען לאָנטשט צו שאַפֿן די נייַע פּראָצעס.
  • טאָקען עוואַלואַטיאָן טיפּ: סימען אפשאצונג איז אַ זיכערהייט מעקאַניזאַם געניצט דורך Windows צו באַשליסן אויב אַ באַניצער חשבון איז אָטערייזד צו דורכפירן אַ באַזונדער קאַמף. דער טיפּ פון סימען וואָס אַ פּראָצעס וועט נוצן צו בעטן הויך פּריווילאַדזשאַז איז גערופן די "סימען אפשאצונג טיפּ." עס זענען דריי מעגלעך וואַלועס פֿאַר דעם פעלד. טיפּ 1 (%% 1936) דינאָוץ אַז דער פּראָצעס איז ניצן די פעליקייַט באַניצער סימען און האט נישט געבעטן קיין ספּעציעל פּערמישאַנז. פֿאַר דעם פעלד, עס איז די מערסט פּראָסט ווערט. טיפּ 2 (%% 1937) דינאָוץ אַז דער פּראָצעס פארלאנגט פול אַדמיניסטראַטאָר פּריווילאַדזשאַז צו לויפן און איז געווען געראָטן צו באַקומען זיי. ווען אַ באַניצער לויפט אַ אַפּלאַקיישאַן אָדער פּראָצעס ווי אַדמיניסטראַטאָר, עס איז ענייבאַלד. טיפּ 3 (%% 1938) דינאָוץ אַז דער פּראָצעס בלויז באקומען די רעכט פארלאנגט צו דורכפירן די געבעטן קאַמף, כאָטש עס פארלאנגט עלעוואַטעד פּריווילאַדזשאַז.

• • מאַנדאַטאָרי לאַבעל: אַן אָרנטלעכקייַט פירמע אַסיינד צו דעם פּראָצעס. 
  • Creator Process ID: אַ יינציק כעקסאַדעסימאַל ווערט אַסיינד צו דעם פּראָצעס וואָס ינישיייטיד די נייַע פּראָצעס. 
  • באשעפער פּראַסעס נאָמען: פול דרך און נאָמען פון דעם פּראָצעס וואָס באשאפן דעם נייַע פּראָצעס.
  • פּראָצעס באַפֿעלן שורה: גיט דעטאַילס וועגן די אַרגומענטן דורכגעגאנגען אין די באַפֿעל צו אָנהייבן דעם נייַע פּראָצעס. עס כולל עטלעכע סובפיעלדס אַרייַנגערעכנט די קראַנט וועגווייַזער און האַשעס.