从一处误报看Windows更新

之前做测试的Windows10主机版本是1903然后会自动更新最新版本22H2，复杂之眼EDR出现一处告警，分析了一下该告警是误报。

通过访问https://www.file.net/网站查询可以看到wuauclt.exe，WindowsUpdateBox.exe，SetupHost.exe是Windows正常的更新程序.

SetupHost.exe会去对 AutodialDLL 注册表值项进行修改重置，之前Windows更新没有这个行为，可能是临时加的。

Chatgpt搜索一下AutodialDLL持久化技术，有什么作用。

Google搜索一下网上公开的威胁情报报告可以看到威胁行为者使用了该技术。

猜测如果有正在使用该AutodialDLL持久化技术的威胁行为者，控制了Windows主机，Windows更新后权限会掉了，很可能是官方清马操作。

原文始发于微信公众号（我的安全梦）：从一处误报看Windows更新