噢不…又要 Windows Update？系統更新升級一直是許多用戶頭痛的功能，打斷了工作節奏與對電腦的掌控 —— 但其實這也是各頂級資安解決方案所吶喊的痛點。

受到 Black Hat USA 一篇研究《Windows Downgrade Attacks using Windows Updates》所啟發，我們研究並調查了這類攻擊手法實務上對於資安解決方案所供的監控保護如何有效的在防護產品的架構間的註冊表、運行程序、與磁碟文件之三者對於安全性的理解不一致達成堆砌出了新的攻擊面。

此議程內容將包含 Windows 11 最新版本對於系統內置基於 Trusted Installer 升級架構進行深度拆解、防護產品與升級器間存有的定位窘境，以及基於事件記錄器作為系統與防護產品通訊架構的嫌隙問題，攻擊者最終得以偽造未受保護的註冊表與磁碟項目並成功劫持升級器身份進行“任意升級”以達成完美劫持防毒作為後門執行工具的能力；並在議程尾聲我們統整了藍隊夥伴該如何應對此類問題，並在鑑識調查與回應能有效感知野外攻擊者濫用此類技巧。