Meriv çawa di Vekolînekê de Nasnameya Bûyera Ewlekariya Windows 4688 şîrove dike

Pêşkêş

Ligor microsoft, Nasnameyên bûyerê (ku jê re nasnavên bûyerê jî tê gotin) bûyerek taybetî yekta nas dikin. Ew nasnameyek hejmarî ye ku bi her bûyerek ku ji hêla pergala xebitandina Windows-ê ve hatî tomar kirin ve girêdayî ye. Nasname dide agahî di derbarê bûyera ku qewimî de û dikare were bikar anîn da ku pirsgirêkên bi karûbarên pergalê ve girêdayî nas bike û çareser bike. Bûyerek, di vê çarçoveyê de, her çalakiyek ku ji hêla pergalê an bikarhênerek li ser pergalê ve hatî kirin vedibêje. Van bûyeran dikarin li ser Windows-ê bi karanîna Event Viewer werin dîtin

Dema ku pêvajoyek nû çêbibe ID-ya bûyerê 4688 tê tomar kirin. Ew her bernameya ku ji hêla makîneyê ve hatî darve kirin û daneyên nasîna wê, tevî afirîner, armanc, û pêvajoya ku dest pê kiriye, belge dike. Çend bûyer di bin nasnameya bûyerê 4688 de têne tomar kirin. Piştî têketinê, Binepergala Rêvebirê Rûniştinê (SMSS.exe) tê destpêkirin, û bûyera 4688 tê tomarkirin. Ger pergalek bi malware vegirtî be, dibe ku malware pêvajoyên nû biafirîne ku bixebite. Pêvajoyên weha dê di bin ID 4688 de bêne belge kirin.

 

Redmine li ser Ubuntu 20.04 li ser AWS bicîh bikin

Nasnameya Bûyerê 4688 şirove dike

Ji bo şirovekirina bûyera ID 4688, girîng e ku meriv qadên cihêreng ên ku di qeyda bûyerê de cih digirin fêm bikin. Van zeviyan dikarin werin bikar anîn da ku her neheqî bibînin û eslê pêvajoyek vegere çavkaniya xwe.

• Mijara Afirînerê: ev qad li ser hesabê bikarhênerê ku daxwaza çêkirina pêvajoyek nû kiriye agahdarî dide. Ev zevî çarçoveyek peyda dike û dikare ji lêkolînerên dadrêsî re bibe alîkar ku anomaliyan nas bikin. Ew çend jêrzemînan pêk tîne, di nav de:

• • Nasnameya Ewlekariyê (SID)” Li gorî microsoft, SID nirxek bêhempa ye ku ji bo naskirina pêbaweriyek tê bikar anîn. Ew ji bo naskirina bikarhênerên li ser makîneya Windows-ê tê bikar anîn.
  • Navê Hesab: SID tê çareser kirin ku navê hesabê ku çêkirina pêvajoya nû daye destpêkirin nîşan bide.
  • Domaina Hesabê: domaina ku komputer tê de ye.
  • Nasnameya têketinê: nirxek hexadecimal a yekta ku ji bo destnîşankirina danişîna têketinê ya bikarhêner tê bikar anîn. Ew dikare were bikar anîn da ku bûyerên ku heman ID-ya bûyerê vedihewîne bi hev ve girêbide.

• Mijara Armanc: ev qad di derbarê hesabê bikarhênerê ku pêvajo di bin de dimeşe de agahdarî dide. Mijara ku di bûyera afirandina pêvajoyê de hatî behs kirin, dibe ku di hin rewşan de ji mijara ku di bûyera bidawîbûna pêvajoyê de hatî destnîşan kirin cûda be. Ji ber vê yekê, gava ku afirîner û armanc ne xwediyê heman têketinê ne, girîng e ku mijara armanc tê de hebe her çend ew her du jî heman nasnameya pêvajoyê referans dikin. Binqaş wek yên mijara afirînerê li jor in.
• Agahdariya Pêvajoyê: Ev qad agahdariya berfireh li ser pêvajoya çêkirî dide. Ew çend jêrzemînan pêk tîne, di nav de:

• • Nasnameya Pêvajoya Nû (PID): nirxek hexadecimal a yekta ku ji pêvajoya nû re hatî destnîşan kirin. Pergala xebitandinê ya Windows-ê wê bikar tîne da ku pêvajoyên çalak bişopîne.
  • Navê Pêvajoya Nû: Rêya tevahî û navê pelê îcrakar ku ji bo afirandina pêvajoya nû hatî destpêkirin.
  • Tîpa Nirxandina Token: Nirxandina token mekanîzmayek ewlehiyê ye ku ji hêla Windows-ê ve tê bikar anîn da ku diyar bike ka hesabek bikarhênerek destûr e ku çalakiyek taybetî pêk bîne. Cûreya nîşana ku dê pêvajoyek bikar bîne da ku îmtiyazên bilind bixwaze jê re "cûreya nirxandina token" tê gotin. Ji bo vê qadê sê nirxên gengaz hene. Tîpa 1 (%%1936) destnîşan dike ku pêvajo nîşaneya bikarhênerê ya xwerû bikar tîne û tu destûrên taybetî nexwestiye. Ji bo vê zeviyê, ew nirxa herî gelemperî ye. Tîpa 2 (%%1937) destnîşan dike ku pêvajo ji bo xebitandina îmtiyazên tam gerînendeyê xwest û di bidestxistina wan de serketî bû. Dema ku bikarhênerek serîlêdanek an pêvajoyek wekî rêveber dimeşîne, ew çalak e. Tîpa 3 (%% 1938) destnîşan dike ku pêvajo tenê mafên ku ji bo pêkanîna çalakiya daxwazkirî hewce dike stend, her çend ku îmtiyazên bilind xwestine.

• • Etîketa Mecbûrî: Etîketek yekitiyê ku ji pêvajoyê re hatî destnîşan kirin. 
  • Nasnameya Pêvajoya Afirînerê: nirxek hexadecimal a yekta ku ji pêvajoya ku pêvajoya nû dest pê kiriye ve hatî destnîşan kirin. 
  • Navê Pêvajoya Afirînerê: Rêya tevahî û navê pêvajoya ku pêvajoya nû afirandiye.
  • Rêza Fermana Pêvajoyê: hûrguliyên li ser argumanên ku di fermanê de hatine derbas kirin da ku pêvajoya nû bidin destpêkirin. Di nav wan de pelrêça heyî û haşe jî gelek bineqad dihewîne.

Platforma Phishing GoPhish li ser Ubuntu 18.04 di AWS de bicîh bikin

Xelasî

 

Dema ku pêvajoyek analîz dike, girîng e ku meriv diyar bike ka ew rewa ye an xirab e. Pêvajoyek rewa bi nihêrîna mijara afirîner û qadên agahdariya pêvajoyê bi hêsanî dikare were nas kirin. Nasnameya pêvajoyê dikare were bikar anîn da ku anomaliyan nas bike, wekî pêvajoyek nû ya ku ji pêvajoyek dêûbavê neasayî hatî derxistin. Rêza fermanê jî dikare were bikar anîn da ku rewabûna pêvajoyek verast bike. Mînakî, pêvajoyek bi argumanan ku rêyek pelê berbi daneyên hesas ve dihewîne dibe ku niyeta xirab nîşan bide. Qada Mijara Afirînerê dikare were bikar anîn da ku diyar bike ka hesabê bikarhêner bi çalakiya gumanbar re têkildar e an xwediyê îmtiyazên bilind e. 

Digel vê yekê, girîng e ku nasnameya bûyerê 4688 bi bûyerên din ên têkildar ên pergalê re têkildar bikin da ku di derheqê pêvajoya nû hatî afirandin de çarçoveyek bidest bixin. Nasnameya bûyerê 4688 dikare bi 5156-ê re were girêdan da ku diyar bike ka pêvajoya nû bi girêdanên torê ve girêdayî ye. Ger pêvajoya nû bi karûbarek nû hatî saz kirin re têkildar be, bûyer 4697 (sazkirina karûbarê) dikare bi 4688 re têkildar be da ku agahdariya zêde peyda bike. Bûyer ID 5140 (afirandina pelê) jî dikare were bikar anîn da ku hûn pelên nû yên ku ji hêla pêvajoya nû ve hatine afirandin nas bikin.

Di encamê de, têgihîştina çarçoveya pergalê ew e ku potansiyelê diyar bike tesîr ya pêvajoyê. Pêvajoyek ku li ser serverek krîtîk hatî destpêkirin dibe ku ji ya ku li ser makîneyek serbixwe hatî destpêkirin xwedî bandorek mezintir be. Context dibe alîkar ku vekolînê rasterast bike, pêşî li bersivê bigire û çavkaniyan birêve bibe. Bi analîzkirina qadên cihêreng ên di qeyda bûyerê de û pêkanîna pêwendiya bi bûyerên din re, pêvajoyên anormal dikarin bi eslê xwe ve werin şopandin û sedem were destnîşankirin.