none
Quelle eines Updates verifizieren / Windows Update ersetzt conhost.exe, aber die Datei ist nicht in der Update-Binärdatei enthalten. RRS feed

  • Frage

  • Wir führen Analysen von Maschinen durch und wollen die Authentizität von Dateien auf Basis der Quelle der Datei (woher kommt die Datei) verifizieren.

    Problem:
    Ein Windows 10-Update aktualisiert scheinbar conhost.exe. Conhost.exe scheint nicht in der.cab-Datei des Updates zu sein.

    Schritte zur Reproduktion des Problems:

    - Windows 10 1809 v2 installieren (c:\windows\system32\conhost.exe md5 ist 4c41666923a14dc687deee3b143afb55)

    - Windows Update kb4501835 installieren lassen (windows10.0-kb4501835-x64_a8a91185c1cf9b9fefa6e9e07fc3d74c45fb2fee)

    - Nachdem die Installation dieses Updates und der Neustart abgeschlossen sind, ist der c:\windows\system32\conhost.exe md5 hash c221707e5ce93515ac87507e19181e2aa

    Wo kommt diese conhost.exe her?

    Der Update-Verlauf von Windows 10 sagt nur aus, dass es das Update kb4501835 installiert hat. Also haben wir kb4501835-x64 manuell heruntergeladen, in ein Temp-Verzeichnis entpackt, die resultierende Datei Windows10.0-KB4501835-x64_PSFX.cab in ein anderes Temp-Verzeichnis entpackt. (c:\Windows\System32\expand.exe -R %FILE% -F:* 1\)


    In diesem tmp-Verzeichnis fanden wir zwei conhost.exe mit md5 d810493b38380e30855f1e9e7d395000 und ebf996ce7169609d9b892b5a79297611


    Also hat keiner der beiden conhost.exes in der kb4501835-x64 den md5 c221707e5ce93515ac87507e19181e2aa.


    Frage:

    Woher kommt die neue conhost.exe? Ist sie tatsächlich nicht in der update.CAB enthalten oder übersehen wir etwas? Wir können die auf .cat basierende Signatur erfolgreich mit signtool überprüfen und damit korrekt verifizieren, dass die Datei von Microsoft signiert ist. Aber wir müssen den Ursprung von Dateien (die Quelle) finden, von wo aus die Dateien stammen, die auf der Festplatte ersetzt werden.

    Irgendein Hinweis?

    Montag, 26. August 2019 06:54

Alle Antworten

  • Gibt es irgendwo einen Hinweis darauf, der einen bestimmten Hash Wert für diese Datei zusichert?
    Welche Versionsnummern haben die verschiedenen Dateien?
    Welches Datum (Erstellung/Änderung) haben die verschiedenen Dateien?

    Gründe für einen anderen Hash:

    • Die Datei wurde während des Setups nachgeladen
    • Auf die Datei wurde noch ein Patch angewendet

    Gibt vermutlich noch andere Gründe, die mir gerade nicht in den Sinn kommen.


    - Gruß Florian

    Montag, 26. August 2019 08:55