如何解讀調查中的 Windows 安全事件 ID 4688
簡介
根據 Microsoft微軟,事件 ID(也稱為事件標識符)唯一標識特定事件。 它是附加到 Windows 操作系統記錄的每個事件的數字標識符。 標識符提供 信息 關於發生的事件,可用於識別和解決與系統操作相關的問題。 在此上下文中,事件是指系統或用戶在系統上執行的任何操作。 可以使用事件查看器在 Windows 上查看這些事件
每當創建新進程時,都會記錄事件 ID 4688。 它記錄了機器執行的每個程序及其識別數據,包括創建者、目標和啟動它的進程。 事件 ID 4688 下記錄了多個事件。登錄後,會話管理器子系統 (SMSS.exe) 啟動,並記錄事件 4688。 如果系統被惡意軟件感染,惡意軟件很可能會創建新的進程來運行。 此類過程將記錄在 ID 4688 下。
解釋事件 ID 4688
為了解釋事件 ID 4688,了解事件日誌中包含的不同字段很重要。 這些字段可用於檢測任何異常情況並跟踪流程的來源回到其源頭。
- 創建者主題:此字段提供有關請求創建新進程的用戶帳戶的信息。 該字段提供上下文,可以幫助法醫調查人員識別異常情況。 它包括幾個子字段,包括:
-
- 安全標識符 (SID)” 根據 Microsoft微軟,SID 是用於標識受託者的唯一值。 它用於識別 Windows 機器上的用戶。
- 帳戶名稱:SID 被解析為顯示發起創建新進程的帳戶的名稱。
- 帳戶域:計算機所屬的域。
- 登錄 ID:一個唯一的十六進制值,用於標識用戶的登錄會話。 它可用於關聯包含相同事件 ID 的事件。
- 目標主題:此字段提供有關運行該進程的用戶帳戶的信息。 在某些情況下,流程創建事件中提及的主題可能與流程終止事件中提及的主題不同。 因此,當創建者和目標沒有相同的登錄時,包括目標主題很重要,即使它們都引用相同的進程 ID。 子字段與上面創建者主題的子字段相同。
- Process Information:此字段提供有關已創建進程的詳細信息。 它包括幾個子字段,包括:
-
- 新進程 ID (PID):分配給新進程的唯一十六進制值。 Windows 操作系統使用它來跟踪活動進程。
- 新進程名稱:為創建新進程而啟動的可執行文件的完整路徑和名稱。
- 令牌評估類型:令牌評估是 Windows 使用的一種安全機制,用於確定用戶帳戶是否有權執行特定操作。 進程將用於請求提升權限的令牌類型稱為“令牌評估類型”。 該字段有三個可能的值。 類型 1 (%%1936) 表示該進程正在使用默認用戶令牌並且未請求任何特殊權限。 對於這個字段,它是最常見的值。 類型 2 (%%1937) 表示進程請求完全管理員權限運行並成功獲得它們。 當用戶以管理員身份運行應用程序或進程時,它會被啟用。 類型 3 (%%1938) 表示進程僅收到執行請求操作所需的權限,即使它請求提升的權限。
-
- 強制標籤:分配給流程的完整性標籤。
- Creator Process ID:分配給啟動新進程的進程的唯一十六進制值。
- Creator Process Name:創建新進程的進程的完整路徑和名稱。
- 進程命令行:提供有關傳遞到命令以啟動新進程的參數的詳細信息。 它包括幾個子字段,包括當前目錄和哈希。
結論
在分析進程時,確定它是合法的還是惡意的至關重要。 通過查看創建者主題和進程信息字段,可以輕鬆識別合法進程。 進程 ID 可用於識別異常,例如從不尋常的父進程中生成新進程。 命令行也可以用來驗證進程的合法性。 例如,帶有包含敏感數據文件路徑的參數的進程可能表明有惡意。 創建者主題字段可用於確定用戶帳戶是否與可疑活動相關聯或是否具有提升的權限。
此外,重要的是將事件 ID 4688 與系統中的其他相關事件相關聯,以獲得有關新創建進程的上下文。 事件 ID 4688 可以與 5156 相關聯,以確定新進程是否與任何網絡連接相關聯。 如果新進程與新安裝的服務相關聯,事件 4697(服務安裝)可以與 4688 相關聯以提供附加信息。 事件 ID 5140(文件創建)也可用於識別新進程創建的任何新文件。
總之,了解系統的上下文是為了確定潛在的 影響 的過程。 在關鍵服務器上啟動的進程可能比在獨立計算機上啟動的進程產生更大的影響。 上下文有助於指導調查、確定響應的優先級和管理資源。 通過分析事件日誌中的不同字段,並與其他事件進行關聯,可以對異常進程進行溯源,確定原因。
