Включает ли Windows 8 программу справки Windows (WinHlp32.exe)?


9

В 2011 году Symantec сообщила об использовании расширения «Файл справки Windows» (.hlp) в качестве вектора атаки в целевых атаках.

Функциональность файла справки позволяет обращаться к API Windows, что, в свою очередь, позволяет выполнять код оболочки и устанавливать вредоносные файлы полезной нагрузки. Эта функциональность не является эксплойтом, но есть дизайн.

Вот вредоносная тепловая карта обнаружения файлов ( Bloodhound.HLP.1& Bloodhound.HLP.2) WinHelp :

введите описание изображения здесь

Я хотел бы знать, существует ли программа справки Windows на моем компьютере с Windows 8 по умолчанию, потому что в этом случае мне может потребоваться удалить ее из соображений безопасности.

Включает ли Windows 8 программу справки Windows (WinHlp32.exe)?


У меня сложилось впечатление, что Microsoft прекратила использование этого формата файлов несколько лет назад. Они перешли на новый аналогичный формат файла, вы должны использовать этот формат, я серьезно сомневаюсь, что этот вектор атаки может даже использоваться в настоящее время.
Ramhound

Ответы:


14

C:\Windows\winhlp32.exeс Windows 8 установлена ​​только заглушка (~ 10 КБ). Он не показывает и не открывает .hlpфайлы! Вам не нужно стирать этот файл.

Существует дополнительное обновление KB917607 (.msu) для Windows 8, которое позволяет работать с .hlpфайлами, но это обновление может быть установлено вручную только пользователем. После установки этого обновления C:\Windows\winhlp32.exeбудет более 100 КБ (не могу сказать точно).


В 64-разрядной версии Windows Enterprise Windows после применения этого обновления winhlp32.exe составляет 287 744 байта.
Марк Аллен

1
Это верно и для Win 7 (по крайней мере, Win 7 pro 64-bit у меня здесь). К сожалению, довольно много программ, которые я использую, не получили памятки и не обновлены до новой справочной системы. Эй, это было только десятилетие ....
RBerteig

Я отредактировал твой пост для того, чтобы просто вернуть мое понижение и сделать его +1. Я неправильно это понял, но теперь я понимаю, что был неправ. : P
avirk

1
Это было верно начиная с Vista, и да, они представили KB917607 в качестве дополнительного дополнения для восстановления Winhlp32, если это необходимо.
Юйхонг Бао

6

Чистая установка Windows Pro RTM OEM, все заглушки winhlp32 открывают окно справки и поддержки. Щелкните правой кнопкой мыши, откройте или дважды щелкните, чтобы получить окно поддержки.

Должен быть установлен вручную

введите описание изображения здесь

,

введите описание изображения здесь


Вот о чем я говорю в своем ответе: P
avirk

2
@avirk: На самом деле ответ Моаба подтверждает то, что сказал Максимус, что хотя EXE-файл может существовать по умолчанию, он является просто заглушкой и фактически не открывает файлы .HLP и поэтому не может действовать как вектор атаки . После установки обновления EXE-файл заменяется большим, который не является заглушкой и фактически работает, то есть когда он может представлять угрозу, если будут открыты зараженные HLP-файлы.
Каран

0

Я только что попробовал запустить его на Windows 8, и он работает, так что он определенно есть.
Есть также ссылки на Windows 8 на MSDN .

Перед тем как удалить его, вы можете проверить, не утрачена ли эта «функциональность», чтобы она больше не использовалась злонамеренно.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.