如何解读调查中的 Windows 安全事件 ID 4688
介绍
根据 微软,事件 ID(也称为事件标识符)唯一标识特定事件。 它是附加到 Windows 操作系统记录的每个事件的数字标识符。 标识符提供 信息 关于发生的事件,可用于识别和解决与系统操作相关的问题。 在此上下文中,事件是指系统或用户在系统上执行的任何操作。 可以使用事件查看器在 Windows 上查看这些事件
每当创建新进程时,都会记录事件 ID 4688。 它记录了机器执行的每个程序及其识别数据,包括创建者、目标和启动它的进程。 事件 ID 4688 下记录了多个事件。登录后,会话管理器子系统 (SMSS.exe) 启动,并记录事件 4688。 如果系统被恶意软件感染,恶意软件很可能会创建新的进程来运行。 此类过程将记录在 ID 4688 下。
解释事件 ID 4688
为了解释事件 ID 4688,了解事件日志中包含的不同字段很重要。 这些字段可用于检测任何异常情况并跟踪流程的来源回到其源头。
- 创建者主题:此字段提供有关请求创建新进程的用户帐户的信息。 该字段提供上下文,可以帮助法医调查人员识别异常情况。 它包括几个子字段,包括:
-
- 安全标识符 (SID)” 根据 微软,SID 是用于标识受托者的唯一值。 它用于识别 Windows 机器上的用户。
- 帐户名称:SID 被解析为显示发起创建新进程的帐户的名称。
- 帐户域:计算机所属的域。
- 登录 ID:一个唯一的十六进制值,用于标识用户的登录会话。 它可用于关联包含相同事件 ID 的事件。
- 目标主题:此字段提供有关运行该进程的用户帐户的信息。 在某些情况下,流程创建事件中提及的主题可能与流程终止事件中提及的主题不同。 因此,当创建者和目标没有相同的登录时,包括目标主题很重要,即使它们都引用相同的进程 ID。 子字段与上面创建者主题的子字段相同。
- Process Information:此字段提供有关已创建进程的详细信息。 它包括几个子字段,包括:
-
- 新进程 ID (PID):分配给新进程的唯一十六进制值。 Windows 操作系统使用它来跟踪活动进程。
- 新进程名称:为创建新进程而启动的可执行文件的完整路径和名称。
- 令牌评估类型:令牌评估是 Windows 使用的一种安全机制,用于确定用户帐户是否有权执行特定操作。 进程将用于请求提升权限的令牌类型称为“令牌评估类型”。 该字段有三个可能的值。 类型 1 (%%1936) 表示该进程正在使用默认用户令牌并且未请求任何特殊权限。 对于这个字段,它是最常见的值。 类型 2 (%%1937) 表示进程请求完全管理员权限运行并成功获得它们。 当用户以管理员身份运行应用程序或进程时,它会被启用。 类型 3 (%%1938) 表示进程仅收到执行请求操作所需的权限,即使它请求提升的权限。
-
- 强制标签:分配给流程的完整性标签。
- Creator Process ID:分配给启动新进程的进程的唯一十六进制值。
- Creator Process Name:创建新进程的进程的完整路径和名称。
- 进程命令行:提供有关传递到命令以启动新进程的参数的详细信息。 它包括几个子字段,包括当前目录和哈希。
结论
在分析进程时,确定它是合法的还是恶意的至关重要。 通过查看创建者主题和进程信息字段,可以轻松识别合法进程。 进程 ID 可用于识别异常,例如从不寻常的父进程中生成新进程。 命令行也可以用来验证进程的合法性。 例如,带有包含敏感数据文件路径的参数的进程可能表明有恶意。 创建者主题字段可用于确定用户帐户是否与可疑活动相关联或是否具有提升的权限。
此外,重要的是将事件 ID 4688 与系统中的其他相关事件相关联,以获得有关新创建进程的上下文。 事件 ID 4688 可以与 5156 相关联,以确定新进程是否与任何网络连接相关联。 如果新进程与新安装的服务相关联,事件 4697(服务安装)可以与 4688 相关联以提供附加信息。 事件 ID 5140(文件创建)也可用于识别新进程创建的任何新文件。
总之,了解系统的上下文是为了确定潜在的 的影响 的过程。 在关键服务器上启动的进程可能比在独立计算机上启动的进程产生更大的影响。 上下文有助于指导调查、确定响应的优先级和管理资源。 通过分析事件日志中的不同字段,并与其他事件进行关联,可以对异常进程进行溯源,确定原因。
