په تحقیق کې د وینډوز امنیت پیښې ID 4688 تشریح کولو څرنګوالی

پېژندنه

په وینا د د Microsoftد پیښې IDs (د پیښې پیژندونکي هم ویل کیږي) په ځانګړي ډول یوه ځانګړې پیښه پیژني. دا یو شمیری پیژندونکی دی چې د وینډوز عملیاتي سیسټم لخوا ثبت شوي هرې پیښې سره وصل دی. پیژندونکی چمتو کوي معلومات د پیښې په اړه چې پیښ شوي او د سیسټم عملیاتو پورې اړوند ستونزو پیژندلو او حل کولو لپاره کارول کیدی شي. یوه پیښه، پدې شرایطو کې، هر هغه عمل ته اشاره کوي چې د سیسټم یا کارونکي لخوا په سیسټم کې ترسره کیږي. دا پیښې په وینډوز کې د پیښې لیدونکي په کارولو سره لیدل کیدی شي

د پیښې ID 4688 لاګ کیږي کله چې نوې پروسه رامینځته کیږي. دا د ماشین لخوا اجرا شوي هر برنامه مستند کوي او د هغې پیژندونکي ډیټا ، پشمول د جوړونکي ، هدف ، او هغه پروسه چې دا یې پیل کړې. ډیری پیښې د پیښې ID 4688 لاندې ننوتل کیږي. د ننوتلو سره ، د سیشن مدیر سب سیسټم (SMSS.exe) پیل کیږي ، او پیښه 4688 لاګ کیږي. که یو سیسټم د مالویر لخوا اخته شوی وي، نو مالویر احتمال لري چې د چلولو لپاره نوې پروسې رامینځته کړي. دا ډول پروسې به د ID 4688 لاندې مستند شي.

 

په AWS کې په اوبنټو 20.04 کې ریډماین ځای په ځای کړئ

د پیښې ID 4688 تشریح کول

د پیښې ID 4688 تشریح کولو لپاره ، دا مهمه ده چې د پیښې په لاګ کې شامل مختلف برخو باندې پوه شئ. دا ساحې د هر ډول بې نظمۍ موندلو لپاره کارول کیدی شي او د پروسې اصلیت بیرته خپلې سرچینې ته تعقیب کړي.

• د جوړونکي موضوع: دا ساحه د کارونکي حساب په اړه معلومات چمتو کوي چې د نوي پروسې رامینځته کولو غوښتنه یې کړې. دا ساحه شرایط چمتو کوي او کولی شي د عدلي پلټونکو سره مرسته وکړي چې ګډوډي په ګوته کړي. پدې کې ډیری فرعي ساحې شاملې دي، په شمول:

• • د امنیت پیژندونکی (SID)" په وینا د Microsoft، SID یو ځانګړی ارزښت دی چې د امانت کونکي پیژندلو لپاره کارول کیږي. دا د وینډوز ماشین کې د کاروونکو پیژندلو لپاره کارول کیږي.
  • د حساب نوم: SID د هغه حساب نوم ښودلو لپاره حل شوی چې د نوي پروسې رامینځته کول یې پیل کړي.
  • د اکاونټ ډومین: هغه ډومین چې کمپیوټر پورې اړه لري.
  • د لوګون ID: یو ځانګړی هیکساډیسیمل ارزښت چې د کارونکي د ننوتلو سیشن پیژندلو لپاره کارول کیږي. دا د پیښو سره تړاو لپاره کارول کیدی شي چې ورته پیښې ID لري.

• د هدف موضوع: دا ساحه د کارونکي حساب په اړه معلومات وړاندې کوي چې پروسه یې لاندې روانه ده. د پروسې د جوړولو په پیښه کې ذکر شوی موضوع کیدای شي په ځینو حاالتو کې د پروسې پای ته رسیدو په پیښه کې د ذکر شوي موضوع څخه جلا وي. نو، کله چې جوړونکی او هدف ورته لاګون نلري، نو دا مهمه ده چې د هدف موضوع شامله کړئ که څه هم دوی دواړه د ورته پروسې ID حواله کوي. فرعي ساحې د پورته جوړونکي موضوع په څیر دي.
• د پروسې معلومات: دا ساحه د رامینځته شوي پروسې په اړه مفصل معلومات وړاندې کوي. پدې کې ډیری فرعي ساحې شاملې دي، په شمول:

• • د نوي پروسې ID (PID): یو ځانګړی هیکساډیسیمل ارزښت چې نوي پروسې ته ټاکل شوی. د وینډوز عملیاتي سیسټم دا د فعالو پروسو تعقیبولو لپاره کاروي.
  • د نوي پروسې نوم: د اجرا وړ فایل بشپړ لاره او نوم چې د نوي پروسې رامینځته کولو لپاره پیل شوی و.
  • د ټوکن ارزونې ډول: د ټوکن ارزونه یو امنیتي میکانیزم دی چې د وینډوز لخوا ګمارل کیږي ترڅو معلومه کړي چې ایا د کارونکي حساب د ځانګړي عمل ترسره کولو لپاره مجاز دی. د نښه ډول ډول چې یوه پروسه به د لوړ امتیازاتو غوښتنه کولو لپاره وکاروي د "نښې ارزونې ډول" په نوم یادیږي. د دې ساحې لپاره درې ممکنه ارزښتونه شتون لري. ټایپ 1 (٪٪ 1936) دا په ګوته کوي چې پروسه د ډیفالټ کارونکي نښه کاروي او د کوم ځانګړي اجازې غوښتنه یې نه ده کړې. د دې ساحې لپاره، دا خورا عام ارزښت دی. ټایپ 2 (٪٪ 1937) دا په ګوته کوي چې پروسې د چلولو لپاره د بشپړ مدیر امتیازاتو غوښتنه کړې او د دوی په ترلاسه کولو کې بریالۍ وه. کله چې یو کارن د مدیر په توګه غوښتنلیک یا پروسه پرمخ وړي، دا فعاله کیږي. ډول 3 (٪٪ 1938) په ګوته کوي چې پروسې یوازې د غوښتل شوي عمل ترسره کولو لپاره اړین حقونه ترلاسه کړي، که څه هم دا د لوړو امتیازاتو غوښتنه کړې.

• • لازمي لیبل: د بشپړتیا لیبل چې پروسې ته ټاکل شوی. 
  • د جوړونکي پروسې ID: یو ځانګړی هیکساډیسیمل ارزښت چې پروسې ته ټاکل شوی چې نوې پروسه یې پیل کړې. 
  • د جوړونکي پروسې نوم: د پروسې بشپړ لاره او نوم چې نوې پروسه یې رامینځته کړې.
  • د پروسې کمانډ لاین: د نوي پروسې پیل کولو لپاره کمانډ ته لیږدول شوي دلیلونو په اړه توضیحات وړاندې کوي. پدې کې ډیری فرعي ساحې شاملې دي پشمول اوسني لارښود او هشونه.

په اوبنټو 18.04 کې د GoPhish فشینګ پلیټ فارم په AWS کې ځای په ځای کړئ

پایله

 

کله چې یوه پروسه تحلیل کړئ، دا مهمه ده چې معلومه کړئ چې آیا دا قانوني یا ناوړه ده. یو مشروع پروسه په اسانۍ سره د جوړونکي موضوع او پروسې معلوماتو ساحو ته په کتلو سره پیژندل کیدی شي. د پروسې ID د ګډوډۍ پیژندلو لپاره کارول کیدی شي ، لکه د غیر معمولي والدین پروسې څخه نوې پروسه رامینځته کیږي. د کمانډ لاین د پروسې مشروعیت تصدیق کولو لپاره هم کارول کیدی شي. د مثال په توګه، د دلیلونو سره یوه پروسه چې حساس ډیټا ته د فایل لاره پکې شامله وي ممکن ناوړه اراده په ګوته کړي. د جوړونکي موضوع ساحه د دې معلومولو لپاره کارول کیدی شي چې ایا د کارونکي حساب د شکمن فعالیت سره تړاو لري یا لوړ امتیازات لري. 

سربیره پردې ، دا مهمه ده چې د پیښې ID 4688 په سیسټم کې د نورو اړوندو پیښو سره اړیکه ونیسئ ترڅو د نوي رامینځته شوي پروسې په اړه شرایط ترلاسه کړئ. د پیښې ID 4688 د 5156 سره اړیکه کیدی شي ترڅو معلومه کړي چې ایا نوې پروسه د کومې شبکې اړیکې سره تړاو لري. که نوې پروسه د نوي نصب شوي خدمت سره تړاو ولري، پیښه 4697 (د خدماتو نصب کول) د اضافي معلوماتو چمتو کولو لپاره د 4688 سره تړاو لري. د پیښې ID 5140 (د فایل رامینځته کول) د نوي پروسې لخوا رامینځته شوي نوي فایلونو پیژندلو لپاره هم کارول کیدی شي.

په پایله کې، د سیسټم شرایط درک کول د ظرفیت ټاکل دي اغیزې د پروسې څخه. په یوه مهم سرور کې پیل شوې پروسه احتمال لري چې په یو واحد ماشین کې د پیل شوي یو څخه ډیر اغیز ولري. شرایط د تحقیقاتو مستقیم کولو، ځواب ته لومړیتوب ورکولو او د سرچینو اداره کولو کې مرسته کوي. د پیښې په لاګ کې د مختلف برخو تحلیل کولو او د نورو پیښو سره د ارتباط ترسره کولو سره ، غیر معمولي پروسې د دوی اصل او لامل ټاکل کیدی شي.