Hola WSUS-Admins,

entfernte Kollegen und ein McAfee-Dozent behaupten, dass der "Automatische Updates"-Dienst den Patchstand nur aus der Registry ausliest und deshalb nicht die wirkliche Wahrheit kennt.  Aber genau das kann ich nicht wirklich glauben, ich vermute, dass M$ schon weitergehende Prüfungen auch auf Dateiebene vorgesehen hat, z.B. Versionsprüfungen der vorhandenen und registrierten DLLs. Schon bei der alten WindowsUpdateSite V4 hatte ich eigentlich vermutet, dass auch hier schon die Abfrage etwas intelligenter gestaltet ist, als einfach nur das Auslesen der Reg-Daten.

Leider suche ich schon lange im Netz nach einer Antwort, und für eine Eigenanalyse hatte ich noch keine Gelegenheit. Man könnte ja z.B. die Reg-Daten selbst manipulieren und schauen ob sich der Updatemechanismus dadurch aufs Glatteis führen lässt.

Also, wie ermittelt der Update-Dienst und die Updatewebsite den Patchstatus?

Danke im Voraus…

Schönen Gruß
Tim

19.10.09 um 14:47:35

Hi,
denke nicht das das so einfach geht.
Wenn das wirklich nur über Die Registrierung gehen würde, hätten die Cyberkriminellen doch längst nen Virus programmiert der dir vorgaugelt das dein PC alle benötigten Patche hat ...

Wenn Du Lust hast könntest Du den MS Baseline Security Analyzer auseinandernehmen  Der benutzt wohl ähnliche Mechanismen.

So, ich habe mal nach ein wenig Trickserei mit dem Systemdateischutz die Datei "gdi32.dll" Version 5.1.2600.5698 gegen eine ältere "gdi32.dll" Version 5.1.2600.3159 ausgetauscht.
Sonst aber keine weiteren Veränderungen am System vorgenommen.

Und die Windows-UpdateSite hat dann danach einen entsprechenden Patch angeboten. Das ist wohl der Beweis, dass nicht nur einfach RegDaten ausgelesen werden. Und als ich einfach die Datei per BartPE-CD wiederhergestellt habe, war der Patchvorschlag von WindowsUpdate auch wieder verschwunden. Und das ist zusätzlich noch eine Bestätigung dessen.

MfG
Tim