Jinsi ya Kutafsiri Kitambulisho cha Tukio la Usalama la Windows 4688 katika Uchunguzi
kuanzishwa
Kulingana na microsoft, Vitambulisho vya matukio (pia huitwa vitambulishi vya matukio) hutambulisha tukio fulani kwa njia ya kipekee. Ni kitambulisho cha nambari kilichoambatishwa kwa kila tukio lililowekwa na mfumo wa uendeshaji wa Windows. Kitambulisho hutoa habari kuhusu tukio lililotokea na inaweza kutumika kutambua na kutatua matatizo yanayohusiana na uendeshaji wa mfumo. Tukio, katika muktadha huu, linarejelea kitendo chochote kinachofanywa na mfumo au mtumiaji kwenye mfumo. Matukio haya yanaweza kutazamwa kwenye Windows kwa kutumia Kitazamaji cha Tukio
Kitambulisho cha tukio 4688 huwekwa wakati mchakato mpya unapoundwa. Huandika kila programu iliyotekelezwa na mashine na data yake ya utambuzi, ikiwa ni pamoja na mtayarishaji, lengo na mchakato ulioianzisha. Matukio kadhaa yamewekwa chini ya kitambulisho cha tukio 4688. Baada ya kuingia, Mfumo mdogo wa Kidhibiti Kikao (SMSS.exe) huzinduliwa, na tukio 4688 huingia. Ikiwa mfumo umeambukizwa na programu hasidi, programu hasidi inaweza kuunda michakato mipya ya kuendeshwa. Michakato kama hii itarekodiwa chini ya kitambulisho 4688.
Kitambulisho cha Tukio la kutafsiri 4688
Ili kufasiri Kitambulisho cha tukio 4688, ni muhimu kuelewa sehemu tofauti zilizojumuishwa kwenye kumbukumbu ya tukio. Sehemu hizi zinaweza kutumika kugundua hitilafu zozote na kufuatilia asili ya mchakato hadi chanzo chake.
- Mada ya Watayarishi: sehemu hii hutoa maelezo kuhusu akaunti ya mtumiaji ambayo iliomba kuundwa kwa mchakato mpya. Sehemu hii inatoa muktadha na inaweza kusaidia wachunguzi wa mahakama kutambua hitilafu. Inajumuisha sehemu ndogo ndogo, zikiwemo:
-
- Kitambulisho cha Usalama (SID)" Kulingana na microsoft, SID ni thamani ya kipekee inayotumiwa kutambua mdhamini. Inatumika kutambua watumiaji kwenye mashine ya Windows.
- Jina la Akaunti: SID imetatuliwa ili kuonyesha jina la akaunti iliyoanzisha uundaji wa mchakato mpya.
- Kikoa cha Akaunti: kikoa ambacho kompyuta ni mali yake.
- Kitambulisho cha Nembo: thamani ya kipekee ya heksadesimali ambayo hutumika kutambua kipindi cha nembo ya mtumiaji. Inaweza kutumika kuunganisha matukio ambayo yana kitambulisho sawa cha tukio.
- Mada Lengwa: sehemu hii hutoa taarifa kuhusu akaunti ya mtumiaji ambayo mchakato unaendeshwa. Mada iliyotajwa katika tukio la kuunda mchakato inaweza, katika hali fulani, kuwa tofauti na mada iliyotajwa katika tukio la kusitisha mchakato. Kwa hivyo, wakati mtayarishi na mlengwa hawana nembo sawa, ni muhimu kujumuisha somo lengwa ingawa zote zinarejelea kitambulisho kimoja cha mchakato. Sehemu ndogo ni sawa na ile ya somo la mtayarishi hapo juu.
- Taarifa ya Mchakato: uwanja huu hutoa maelezo ya kina kuhusu mchakato ulioundwa. Inajumuisha sehemu ndogo ndogo, zikiwemo:
-
- Kitambulisho Kipya cha Mchakato (PID): thamani ya kipekee ya heksadesimali iliyotolewa kwa mchakato mpya. Mfumo wa uendeshaji wa Windows hutumia kufuatilia michakato inayotumika.
- Jina la Mchakato Mpya: njia kamili na jina la faili inayoweza kutekelezwa ambayo ilizinduliwa ili kuunda mchakato mpya.
- Aina ya Tathmini ya Tokeni: tathmini ya tokeni ni utaratibu wa usalama unaotumiwa na Windows ili kubaini ikiwa akaunti ya mtumiaji imeidhinishwa kutekeleza kitendo fulani. Aina ya tokeni ambayo mchakato utatumia kuomba marupurupu ya juu inaitwa "aina ya tathmini ya ishara." Kuna thamani tatu zinazowezekana kwa uga huu. Aina ya 1 (%%1936) inaashiria kuwa mchakato unatumia tokeni chaguo-msingi ya mtumiaji na haujaomba ruhusa zozote maalum. Kwa uwanja huu, ni thamani ya kawaida. Aina ya 2 (%%1937) inaashiria kuwa mchakato uliomba mapendeleo kamili ya msimamizi ili kutekelezwa na ilifaulu kuzipata. Mtumiaji anapoendesha programu au mchakato kama msimamizi, huwashwa. Aina ya 3 (%%1938) inaashiria kwamba mchakato ulipokea tu haki zinazohitajika kutekeleza hatua iliyoombwa, ingawa iliomba mapendeleo ya juu.
-
- Lebo ya Lazima: lebo ya uadilifu iliyopewa mchakato.
- Kitambulisho cha Mchakato wa Watayarishi: thamani ya kipekee ya heksadesimali iliyotolewa kwa mchakato ulioanzisha mchakato mpya.
- Jina la Mchakato wa Watayarishi: njia kamili na jina la mchakato uliounda mchakato mpya.
- Mchakato wa Mstari wa Amri: hutoa maelezo juu ya hoja zilizopitishwa kwenye amri ili kuanzisha mchakato mpya. Inajumuisha sehemu ndogo ndogo ikiwa ni pamoja na saraka ya sasa na heshi.
Hitimisho
Wakati wa kuchanganua mchakato, ni muhimu kuamua ikiwa ni halali au mbaya. Mchakato halali unaweza kutambuliwa kwa urahisi kwa kuangalia mada ya muundaji na kuchakata sehemu za habari. Kitambulisho cha mchakato kinaweza kutumika kutambua hitilafu, kama vile mchakato mpya unaotokana na mchakato usio wa kawaida wa mzazi. Mstari wa amri pia unaweza kutumika kuthibitisha uhalali wa mchakato. Kwa mfano, mchakato wenye hoja unaojumuisha njia ya faili kwa data nyeti unaweza kuonyesha nia mbaya. Sehemu ya Mada ya Watayarishi inaweza kutumika kubainisha ikiwa akaunti ya mtumiaji inahusishwa na shughuli za kutiliwa shaka au ina mapendeleo ya juu.
Zaidi ya hayo, ni muhimu kuoanisha kitambulisho cha tukio 4688 na matukio mengine muhimu katika mfumo ili kupata muktadha kuhusu mchakato mpya ulioundwa. Kitambulisho cha Tukio 4688 kinaweza kuunganishwa na 5156 ili kubaini ikiwa mchakato mpya unahusishwa na miunganisho yoyote ya mtandao. Ikiwa mchakato mpya unahusishwa na huduma mpya iliyosakinishwa, tukio la 4697 (usakinishaji wa huduma) linaweza kuunganishwa na 4688 ili kutoa maelezo ya ziada. Kitambulisho cha Tukio 5140 (kuunda faili) pia kinaweza kutumika kutambua faili zozote mpya zilizoundwa na mchakato mpya.
Kwa kumalizia, kuelewa muktadha wa mfumo ni kuamua uwezo athari ya mchakato. Mchakato unaoanzishwa kwenye seva muhimu unaweza kuwa na athari kubwa kuliko ule uliozinduliwa kwenye mashine inayojitegemea. Muktadha husaidia kuelekeza uchunguzi, kutanguliza majibu na kusimamia rasilimali. Kwa kuchanganua nyuga tofauti katika logi ya tukio na kufanya uwiano na matukio mengine, michakato isiyo ya kawaida inaweza kufuatiliwa hadi asili yao na sababu kubainishwa.
