تفتیش میں ونڈوز سیکیورٹی ایونٹ ID 4688 کی تشریح کیسے کریں۔

تعارف

کے مطابق مائیکروسافٹ, ایونٹ IDs (جنہیں ایونٹ آئیڈینٹیفائر بھی کہا جاتا ہے) کسی خاص ایونٹ کی منفرد شناخت کرتے ہیں۔ یہ ایک عددی شناخت کنندہ ہے جو ونڈوز آپریٹنگ سسٹم کے ذریعے لاگ کیے گئے ہر ایونٹ سے منسلک ہوتا ہے۔ شناخت کنندہ فراہم کرتا ہے۔ معلومات اس واقعہ کے بارے میں جو پیش آیا ہے اور اسے سسٹم کے آپریشنز سے متعلق مسائل کی شناخت اور ان کے حل کے لیے استعمال کیا جا سکتا ہے۔ ایک واقعہ، اس تناظر میں، کسی بھی عمل سے مراد ہے جو سسٹم یا سسٹم پر صارف کے ذریعے انجام دیا جاتا ہے۔ ان واقعات کو ونڈوز پر ایونٹ ویور کا استعمال کرتے ہوئے دیکھا جا سکتا ہے۔

ایونٹ ID 4688 لاگ ان ہوتا ہے جب بھی کوئی نیا عمل بنایا جاتا ہے۔ یہ مشین کے ذریعے انجام پانے والے ہر پروگرام اور اس کے شناختی ڈیٹا کو دستاویز کرتا ہے، بشمول تخلیق کار، ہدف، اور اس عمل کو جس نے اسے شروع کیا۔ ایونٹ ID 4688 کے تحت کئی ایونٹس لاگ ان ہوتے ہیں۔ لاگ ان ہونے پر، سیشن مینیجر سب سسٹم (SMSS.exe) شروع ہوتا ہے، اور ایونٹ 4688 لاگ ان ہوتا ہے۔ اگر کوئی سسٹم میلویئر سے متاثر ہوتا ہے، تو امکان ہے کہ میلویئر چلنے کے لیے نئے عمل پیدا کر سکتا ہے۔ اس طرح کے عمل کو ID 4688 کے تحت دستاویز کیا جائے گا۔

 

AWS پر Ubuntu 20.04 پر Redmine تعینات کریں۔

ایونٹ ID 4688 کی ترجمانی کرنا

ایونٹ ID 4688 کی تشریح کرنے کے لیے، ایونٹ لاگ میں شامل مختلف فیلڈز کو سمجھنا ضروری ہے۔ ان فیلڈز کو کسی بھی بے ضابطگی کا پتہ لگانے اور کسی عمل کی اصل کو اس کے ماخذ پر واپس لانے کے لیے استعمال کیا جا سکتا ہے۔

• تخلیق کار موضوع: یہ فیلڈ صارف کے اکاؤنٹ کے بارے میں معلومات فراہم کرتا ہے جس نے ایک نیا عمل بنانے کی درخواست کی تھی۔ یہ فیلڈ سیاق و سباق فراہم کرتا ہے اور فرانزک تفتیش کاروں کو بے ضابطگیوں کی نشاندہی کرنے میں مدد کر سکتا ہے۔ اس میں کئی ذیلی فیلڈز شامل ہیں، بشمول:

• • سیکیورٹی شناخت کنندہ (SID)" کے مطابق مائیکروسافٹ, SID ایک منفرد قدر ہے جسے ٹرسٹی کی شناخت کے لیے استعمال کیا جاتا ہے۔ یہ ونڈوز مشین پر صارفین کی شناخت کے لیے استعمال ہوتا ہے۔
  • اکاؤنٹ کا نام: SID کو اس اکاؤنٹ کا نام ظاہر کرنے کا فیصلہ کیا گیا ہے جس نے نیا عمل شروع کیا تھا۔
  • اکاؤنٹ ڈومین: وہ ڈومین جس سے کمپیوٹر کا تعلق ہے۔
  • لاگ ان ID: ایک منفرد ہیکساڈیسیمل قدر جو صارف کے لاگ ان سیشن کی شناخت کے لیے استعمال ہوتی ہے۔ اس کا استعمال ان واقعات کو باہم مربوط کرنے کے لیے کیا جا سکتا ہے جن میں ایک ہی ایونٹ کی شناخت ہوتی ہے۔

• ہدف کا موضوع: یہ فیلڈ صارف کے اکاؤنٹ کے بارے میں معلومات فراہم کرتا ہے جس کے تحت یہ عمل چل رہا ہے۔ عمل کی تخلیق کے واقعہ میں ذکر کردہ موضوع، بعض حالات میں، عمل کے خاتمے کے واقعہ میں ذکر کردہ موضوع سے مختلف ہو سکتا ہے۔ لہذا، جب تخلیق کار اور ہدف کا ایک ہی لاگ ان نہیں ہوتا ہے، تو ہدف کے موضوع کو شامل کرنا ضروری ہے اگرچہ وہ دونوں ایک ہی پروسیس ID کا حوالہ دیتے ہیں۔ ذیلی فیلڈز وہی ہیں جو اوپر تخلیق کرنے والے مضمون کے ہیں۔
• عمل کی معلومات: یہ فیلڈ بنائے گئے عمل کے بارے میں تفصیلی معلومات فراہم کرتا ہے۔ اس میں کئی ذیلی فیلڈز شامل ہیں، بشمول:

• • نیا عمل ID (PID): ایک منفرد ہیکساڈیسیمل قدر جو نئے عمل کو تفویض کی گئی ہے۔ ونڈوز آپریٹنگ سسٹم اسے فعال عمل پر نظر رکھنے کے لیے استعمال کرتا ہے۔
  • نیا عمل کا نام: مکمل راستہ اور قابل عمل فائل کا نام جو نیا عمل بنانے کے لیے شروع کیا گیا تھا۔
  • ٹوکن ایویلیوایشن کی قسم: ٹوکن ایویلیویشن ایک حفاظتی طریقہ کار ہے جسے ونڈوز کے ذریعے استعمال کیا جاتا ہے تاکہ یہ معلوم کیا جا سکے کہ آیا صارف اکاؤنٹ کسی خاص کارروائی کو انجام دینے کا مجاز ہے۔ اعلیٰ مراعات کی درخواست کرنے کے لیے کوئی پروسیس جس قسم کے ٹوکن کا استعمال کرے گا اسے "ٹوکن تشخیص کی قسم" کہا جاتا ہے۔ اس فیلڈ کے لیے تین ممکنہ قدریں ہیں۔ ٹائپ 1 (%%1936) سے ظاہر ہوتا ہے کہ یہ عمل ڈیفالٹ صارف ٹوکن استعمال کر رہا ہے اور اس نے کسی خاص اجازت کی درخواست نہیں کی ہے۔ اس فیلڈ کے لیے، یہ سب سے عام قدر ہے۔ ٹائپ 2 (%%1937) سے ظاہر ہوتا ہے کہ اس عمل نے چلانے کے لیے ایڈمنسٹریٹر کے مکمل مراعات کی درخواست کی تھی اور وہ انہیں حاصل کرنے میں کامیاب رہا تھا۔ جب کوئی صارف ایڈمنسٹریٹر کے طور پر کوئی ایپلیکیشن یا پروسیس چلاتا ہے تو اسے فعال کر دیا جاتا ہے۔ قسم 3 (%%1938) سے ظاہر ہوتا ہے کہ اس عمل کو صرف مطلوبہ کارروائی کو انجام دینے کے لیے درکار حقوق حاصل ہوئے، حالانکہ اس نے اعلیٰ مراعات کی درخواست کی تھی۔

• • لازمی لیبل: عمل کو تفویض کردہ سالمیت کا لیبل۔ 
  • Creator Process ID: اس عمل کو تفویض کردہ ایک منفرد ہیکساڈیسیمل قدر جس نے نیا عمل شروع کیا۔ 
  • تخلیق کار عمل کا نام: مکمل راستہ اور اس عمل کا نام جس نے نیا عمل تخلیق کیا۔
  • پراسیس کمانڈ لائن: نئے عمل کو شروع کرنے کے لیے کمانڈ میں بھیجے گئے دلائل کے بارے میں تفصیلات فراہم کرتا ہے۔ اس میں موجودہ ڈائرکٹری اور ہیش سمیت کئی ذیلی فیلڈز شامل ہیں۔

Ubuntu 18.04 پر GoPhish فشنگ پلیٹ فارم AWS میں تعینات کریں

نتیجہ

 

کسی عمل کا تجزیہ کرتے وقت، یہ تعین کرنا ضروری ہے کہ آیا یہ جائز ہے یا بدنیتی۔ تخلیق کار کے موضوع اور عمل کی معلومات کے شعبوں کو دیکھ کر ایک جائز عمل کی آسانی سے شناخت کی جا سکتی ہے۔ پروسیس آئی ڈی کو بے ضابطگیوں کی نشاندہی کرنے کے لیے استعمال کیا جا سکتا ہے، جیسے کہ والدین کے غیر معمولی عمل سے پیدا ہونے والا نیا عمل۔ کمانڈ لائن کو کسی عمل کی قانونی حیثیت کی تصدیق کے لیے بھی استعمال کیا جا سکتا ہے۔ مثال کے طور پر، دلائل کے ساتھ ایک عمل جس میں حساس ڈیٹا کے لیے فائل کا راستہ شامل ہو، بدنیتی پر مبنی ارادے کی نشاندہی کر سکتا ہے۔ Creator سبجیکٹ فیلڈ کا استعمال اس بات کا تعین کرنے کے لیے کیا جا سکتا ہے کہ آیا صارف کا اکاؤنٹ مشکوک سرگرمی سے وابستہ ہے یا اس کے مراعات میں اضافہ ہے۔ 

مزید برآں، نئے بنائے گئے عمل کے بارے میں سیاق و سباق حاصل کرنے کے لیے ایونٹ ID 4688 کو سسٹم میں دیگر متعلقہ واقعات کے ساتھ جوڑنا ضروری ہے۔ ایونٹ ID 4688 کو 5156 کے ساتھ منسلک کیا جا سکتا ہے تاکہ یہ معلوم کیا جا سکے کہ آیا نیا عمل کسی نیٹ ورک کنکشن کے ساتھ منسلک ہے۔ اگر نیا عمل نئی انسٹال کردہ سروس سے منسلک ہے تو، ایونٹ 4697 (سروس انسٹال) کو اضافی معلومات فراہم کرنے کے لیے 4688 کے ساتھ منسلک کیا جا سکتا ہے۔ ایونٹ ID 5140 (فائل تخلیق) کو نئے عمل کے ذریعے تخلیق کردہ کسی بھی نئی فائل کی شناخت کے لیے بھی استعمال کیا جا سکتا ہے۔

آخر میں، نظام کے سیاق و سباق کو سمجھنا صلاحیت کا تعین کرنا ہے۔ اثر عمل کے. ایک اہم سرور پر شروع کیا گیا عمل اسٹینڈ تنہا مشین پر شروع ہونے والے عمل سے زیادہ اثر ڈالنے کا امکان ہے۔ سیاق و سباق تفتیش کی سمت، جواب کو ترجیح دینے اور وسائل کا نظم کرنے میں مدد کرتا ہے۔ ایونٹ لاگ میں مختلف شعبوں کا تجزیہ کرکے اور دیگر واقعات کے ساتھ ارتباط کو انجام دینے سے، غیر معمولی عمل کو ان کی اصل اور وجہ کا تعین کیا جاسکتا ہے۔