একটি তদন্তে উইন্ডোজ সিকিউরিটি ইভেন্ট আইডি 4688 কীভাবে ব্যাখ্যা করবেন
ভূমিকা
অনুসারে মাইক্রোসফট, ইভেন্ট আইডি (ইভেন্ট শনাক্তকারীও বলা হয়) একটি নির্দিষ্ট ইভেন্টকে স্বতন্ত্রভাবে সনাক্ত করে। এটি উইন্ডোজ অপারেটিং সিস্টেম দ্বারা লগ করা প্রতিটি ইভেন্টের সাথে সংযুক্ত একটি সংখ্যাসূচক শনাক্তকারী৷ সনাক্তকারী প্রদান করে তথ্য যে ইভেন্টটি ঘটেছে এবং সিস্টেম অপারেশন সম্পর্কিত সমস্যাগুলি সনাক্ত করতে এবং সমাধান করতে ব্যবহার করা যেতে পারে। একটি ইভেন্ট, এই প্রেক্ষাপটে, সিস্টেম বা ব্যবহারকারীর দ্বারা সঞ্চালিত কোনো কর্মকে বোঝায়। ইভেন্ট ভিউয়ার ব্যবহার করে এই ইভেন্টগুলি উইন্ডোজে দেখা যায়
যখনই একটি নতুন প্রক্রিয়া তৈরি করা হয় তখন ইভেন্ট ID 4688 লগ করা হয়। এটি মেশিন দ্বারা সঞ্চালিত প্রতিটি প্রোগ্রাম এবং স্রষ্টা, লক্ষ্য এবং এটি শুরু করা প্রক্রিয়া সহ এর সনাক্তকারী ডেটা নথিভুক্ত করে। ইভেন্ট আইডি 4688 এর অধীনে বেশ কিছু ইভেন্ট লগ ইন করা আছে। লগইন করার পর, সেশন ম্যানেজার সাবসিস্টেম (SMSS.exe) চালু হয়েছে, এবং ইভেন্ট 4688 লগ করা হয়েছে। যদি একটি সিস্টেম ম্যালওয়্যার দ্বারা সংক্রামিত হয়, ম্যালওয়্যার চালানোর জন্য নতুন প্রক্রিয়া তৈরি করতে পারে। এই ধরনের প্রক্রিয়াগুলি আইডি 4688 এর অধীনে নথিভুক্ত করা হবে।
ইভেন্ট আইডি 4688 ব্যাখ্যা করছে
ইভেন্ট আইডি 4688 ব্যাখ্যা করার জন্য, ইভেন্ট লগে অন্তর্ভুক্ত বিভিন্ন ক্ষেত্র বোঝা গুরুত্বপূর্ণ। এই ক্ষেত্রগুলি কোনও অনিয়ম সনাক্ত করতে এবং একটি প্রক্রিয়ার উত্সকে তার উত্সে ফিরে ট্র্যাক করতে ব্যবহার করা যেতে পারে।
- সৃষ্টিকর্তা বিষয়: এই ক্ষেত্রটি ব্যবহারকারীর অ্যাকাউন্ট সম্পর্কে তথ্য প্রদান করে যা একটি নতুন প্রক্রিয়া তৈরির জন্য অনুরোধ করেছিল। এই ক্ষেত্রটি প্রসঙ্গ সরবরাহ করে এবং ফরেনসিক তদন্তকারীদের অসঙ্গতিগুলি সনাক্ত করতে সহায়তা করতে পারে। এতে বেশ কয়েকটি সাবফিল্ড রয়েছে, যার মধ্যে রয়েছে:
- নিরাপত্তা শনাক্তকারী (SID)” অনুযায়ী মাইক্রোসফট, SID হল একটি অনন্য মান যা একজন ট্রাস্টিকে চিহ্নিত করতে ব্যবহৃত হয়। এটি উইন্ডোজ মেশিনে ব্যবহারকারীদের সনাক্ত করতে ব্যবহৃত হয়।
- অ্যাকাউন্টের নাম: নতুন প্রক্রিয়া তৈরির সূচনাকারী অ্যাকাউন্টের নাম দেখানোর জন্য SID সমাধান করা হয়েছে।
- অ্যাকাউন্ট ডোমেইন: কম্পিউটার যে ডোমেনটির অন্তর্গত।
- লগন আইডি: একটি অনন্য হেক্সাডেসিমেল মান যা ব্যবহারকারীর লগঅন সেশন সনাক্ত করতে ব্যবহৃত হয়। এটি একই ইভেন্ট আইডি ধারণ করে এমন ইভেন্টগুলিকে সম্পর্কযুক্ত করতে ব্যবহার করা যেতে পারে।
- টার্গেট বিষয়: এই ক্ষেত্রটি ব্যবহারকারীর অ্যাকাউন্ট সম্পর্কে তথ্য প্রদান করে যার অধীনে প্রক্রিয়াটি চলছে। প্রক্রিয়া সৃষ্টি ইভেন্টে উল্লিখিত বিষয়, কিছু পরিস্থিতিতে, প্রক্রিয়া সমাপ্তি ইভেন্টে উল্লিখিত বিষয় থেকে আলাদা হতে পারে। সুতরাং, যখন স্রষ্টা এবং টার্গেটের একই লগঅন থাকে না, তখন লক্ষ্য বিষয় অন্তর্ভুক্ত করা গুরুত্বপূর্ণ যদিও তারা উভয়ই একই প্রক্রিয়া আইডি উল্লেখ করে। সাবফিল্ডগুলি উপরের স্রষ্টা বিষয়ের মতোই।
- প্রক্রিয়া তথ্য: এই ক্ষেত্রটি তৈরি প্রক্রিয়া সম্পর্কে বিস্তারিত তথ্য প্রদান করে। এতে বেশ কয়েকটি সাবফিল্ড রয়েছে, যার মধ্যে রয়েছে:
- নতুন প্রক্রিয়া আইডি (পিআইডি): একটি অনন্য হেক্সাডেসিমেল মান নতুন প্রক্রিয়ার জন্য নির্ধারিত। উইন্ডোজ অপারেটিং সিস্টেম সক্রিয় প্রক্রিয়ার ট্র্যাক রাখতে এটি ব্যবহার করে।
- নতুন প্রক্রিয়ার নাম: এক্সিকিউটেবল ফাইলের পুরো পথ এবং নাম যা নতুন প্রক্রিয়া তৈরি করতে চালু করা হয়েছিল।
- টোকেন মূল্যায়নের ধরন: টোকেন মূল্যায়ন হল একটি নিরাপত্তা ব্যবস্থা যা উইন্ডোজ দ্বারা নিযুক্ত করা হয় যাতে একটি ব্যবহারকারীর অ্যাকাউন্ট একটি নির্দিষ্ট ক্রিয়া সম্পাদনের জন্য অনুমোদিত কিনা। উন্নত বিশেষাধিকারের অনুরোধ করার জন্য একটি প্রক্রিয়া যে ধরনের টোকেন ব্যবহার করবে তাকে "টোকেন মূল্যায়নের ধরন" বলা হয়। এই ক্ষেত্রের জন্য তিনটি সম্ভাব্য মান আছে। টাইপ 1 (%%1936) নির্দেশ করে যে প্রক্রিয়াটি ডিফল্ট ব্যবহারকারী টোকেন ব্যবহার করছে এবং কোনো বিশেষ অনুমতির অনুরোধ করেনি। এই ক্ষেত্রের জন্য, এটি সবচেয়ে সাধারণ মান। টাইপ 2 (%%1937) বোঝায় যে প্রক্রিয়াটি চালানোর জন্য সম্পূর্ণ অ্যাডমিনিস্ট্রেটর বিশেষাধিকারের অনুরোধ করেছিল এবং সেগুলি পেতে সফল হয়েছিল। যখন একজন ব্যবহারকারী প্রশাসক হিসাবে একটি অ্যাপ্লিকেশন বা প্রক্রিয়া চালায়, তখন এটি সক্ষম হয়। টাইপ 3 (%%1938) বোঝায় যে প্রক্রিয়াটি কেবলমাত্র অনুরোধকৃত পদক্ষেপটি সম্পাদন করার জন্য প্রয়োজনীয় অধিকারগুলি পেয়েছে, যদিও এটি উন্নত বিশেষাধিকারের জন্য অনুরোধ করেছিল।
- বাধ্যতামূলক লেবেল: প্রক্রিয়াটির জন্য নির্ধারিত একটি অখণ্ডতা লেবেল।
- ক্রিয়েটর প্রসেস আইডি: একটি অনন্য হেক্সাডেসিমেল মান যেটি নতুন প্রক্রিয়া শুরু করেছে সেই প্রক্রিয়ার জন্য নির্ধারিত।
- ক্রিয়েটর প্রসেস নেম: সম্পূর্ণ পাথ এবং প্রসেসের নাম যা নতুন প্রসেস তৈরি করেছে।
- প্রসেস কমান্ড লাইন: নতুন প্রক্রিয়া শুরু করতে কমান্ডে পাস করা আর্গুমেন্ট সম্পর্কে বিশদ প্রদান করে। এটি বর্তমান ডিরেক্টরি এবং হ্যাশ সহ বেশ কয়েকটি সাবফিল্ড অন্তর্ভুক্ত করে।
উপসংহার
একটি প্রক্রিয়া বিশ্লেষণ করার সময়, এটি বৈধ বা দূষিত কিনা তা নির্ধারণ করা গুরুত্বপূর্ণ। স্রষ্টার বিষয় এবং প্রক্রিয়া তথ্য ক্ষেত্রগুলি দেখে একটি বৈধ প্রক্রিয়া সহজেই সনাক্ত করা যেতে পারে। প্রক্রিয়া আইডি অস্বাভাবিকতা সনাক্ত করতে ব্যবহার করা যেতে পারে, যেমন একটি অস্বাভাবিক অভিভাবক প্রক্রিয়া থেকে একটি নতুন প্রক্রিয়া তৈরি করা হচ্ছে। কমান্ড লাইনটি একটি প্রক্রিয়ার বৈধতা যাচাই করতেও ব্যবহার করা যেতে পারে। উদাহরণস্বরূপ, সংবেদনশীল ডেটাতে একটি ফাইল পাথ অন্তর্ভুক্ত আর্গুমেন্ট সহ একটি প্রক্রিয়া দূষিত অভিপ্রায় নির্দেশ করতে পারে। ব্যবহারকারীর অ্যাকাউন্ট সন্দেহজনক কার্যকলাপের সাথে যুক্ত কিনা বা উন্নত বিশেষাধিকার আছে কিনা তা নির্ধারণ করতে নির্মাতা বিষয় ক্ষেত্র ব্যবহার করা যেতে পারে।
অধিকন্তু, নতুন তৈরি প্রক্রিয়া সম্পর্কে প্রসঙ্গ পেতে সিস্টেমের অন্যান্য প্রাসঙ্গিক ইভেন্টের সাথে ইভেন্ট ID 4688-এর সাথে সম্পর্ক স্থাপন করা গুরুত্বপূর্ণ। নতুন প্রক্রিয়া কোন নেটওয়ার্ক সংযোগের সাথে যুক্ত কিনা তা নির্ধারণ করতে ইভেন্ট আইডি 4688 5156 এর সাথে সম্পর্কযুক্ত হতে পারে। যদি নতুন প্রক্রিয়াটি একটি নতুন ইনস্টল করা পরিষেবার সাথে যুক্ত হয়, তবে অতিরিক্ত তথ্য প্রদানের জন্য ইভেন্ট 4697 (পরিষেবা ইনস্টল) 4688 এর সাথে সম্পর্কযুক্ত হতে পারে। ইভেন্ট আইডি 5140 (ফাইল তৈরি) নতুন প্রক্রিয়া দ্বারা তৈরি যে কোনও নতুন ফাইল সনাক্ত করতেও ব্যবহার করা যেতে পারে।
উপসংহারে, সিস্টেমের প্রেক্ষাপট বোঝার জন্য সম্ভাব্যতা নির্ধারণ করা হয় প্রভাব প্রক্রিয়ার একটি ক্রিটিক্যাল সার্ভারে সূচিত একটি প্রক্রিয়া একটি স্বতন্ত্র মেশিনে চালু হওয়া একটির চেয়ে বেশি প্রভাব ফেলতে পারে। প্রসঙ্গ তদন্ত পরিচালনা করতে, প্রতিক্রিয়াকে অগ্রাধিকার দিতে এবং সংস্থান পরিচালনা করতে সহায়তা করে। ইভেন্ট লগের বিভিন্ন ক্ষেত্র বিশ্লেষণ করে এবং অন্যান্য ইভেন্টের সাথে পারস্পরিক সম্পর্ক সম্পাদন করে, অস্বাভাবিক প্রক্রিয়াগুলি তাদের উত্স এবং কারণ নির্ধারণ করা যেতে পারে।
