Включает ли Windows 8 программу справки Windows (WinHlp32.exe)?

1767
amiregelz

В 2011 году Symantec сообщила об использовании расширения «Файл справки Windows» (.hlp) в качестве вектора атаки в целевых атаках.

Функциональность файла справки позволяет обращаться к API Windows, что, в свою очередь, позволяет выполнять код оболочки и устанавливать вредоносные файлы полезной нагрузки. Эта функциональность не является эксплойтом, но есть дизайн.

Вот вредоносная тепловая карта обнаружения файлов ( Bloodhound.HLP.1& Bloodhound.HLP.2) WinHelp :

Включает ли Windows 8 программу справки Windows (WinHlp32.exe)?

Я хотел бы знать, существует ли программа справки Windows на моем компьютере с Windows 8 по умолчанию, потому что в этом случае мне может потребоваться удалить ее из соображений безопасности.

Включает ли Windows 8 программу справки Windows (WinHlp32.exe)?

9
У меня сложилось впечатление, что Microsoft прекратила использование этого формата файлов несколько лет назад. Они перешли на новый аналогичный формат файла, вы должны использовать этот формат, я серьезно сомневаюсь, что этот вектор атаки может даже использоваться в настоящее время. Ramhound 11 лет назад 0

3 ответа на вопрос

14
Maximus

C:\Windows\winhlp32.exe installed with Windows 8 is a stub only (~10KB). It does not shows or open .hlp files! You have no need to erase this file.

There is optional update KB917607 (.msu) for Windows 8 which allows to work with .hlp files, but this update may be installed manually by the user only. After installing this update C:\Windows\winhlp32.exe will be more than 100KB (can't say exactly).

В 64-разрядной версии Windows Enterprise Windows после применения этого обновления размер файла winhlp32.exe составляет 287 744 байта. Mark Allen 11 лет назад 0
Это верно и для Win 7 (по крайней мере, Win 7 pro 64-bit у меня здесь). К сожалению, довольно много программ, которые я использую, не получили памятку и не обновлены до новой справочной системы. Эй, это было только десятилетие .... RBerteig 11 лет назад 1
Я отредактировал твой пост только для того, чтобы вернуть мое понижение и сделать его +1. Я неправильно это понял, но теперь я понимаю, что был неправ. :П avirk 11 лет назад 0
Это было верно с Vista, и да, они представили KB917607 в качестве дополнительного дополнения для восстановления Winhlp32, если это необходимо. Yuhong Bao 11 лет назад 1
6
Moab

Clean Install Windows Pro RTM OEM, all the winhlp32 stub does is open the Help and support window. Right click open with or double click gets the support window.

It must be manually installed

enter image description here

.

enter image description here

Об этом я и говорю в своем ответе: P avirk 11 лет назад 0
@avirk: На самом деле ответ Моаба подтверждает то, что сказал Максимус, что хотя EXE-файл может существовать по умолчанию, он является просто заглушкой и * не * фактически открывает файлы .HLP * и поэтому не может действовать как вектор атаки *. После установки обновления EXE-файл заменяется большим, который не является заглушкой и фактически работает, то есть когда он может представлять угрозу, если будут открыты зараженные HLP-файлы. Karan 11 лет назад 2
0
Razor

I have just tried running it on windows 8 and it works, so it's definitely there.
There are also references to windows 8 on MSDN.

Before you delete it, you might want to check if this "functionality" has been toned down so that it cannot be used maliciously anymore.

Похожие вопросы