Чи включає Windows 8 довідкова програма Windows (WinHlp32.exe)?


9

У 2011 році Symantec повідомила про використання розширення файлу довідки Windows (.hlp) як вектору атаки в цільових атаках.

Функціональність довідкового файлу дозволяє викликати API Windows, що, в свою чергу, дозволяє виконувати код оболонки та встановлювати шкідливі файли корисного навантаження. Ця функціональність не є експлуатуванням, але існує задумом.

Ось шкідливі карти виявлення зловмисних файлів WinHelp ( Bloodhound.HLP.1& Bloodhound.HLP.2):

введіть тут опис зображення

Мені хотілося б знати, чи за допомогою програми Windows 8 на моєму пристрої Windows 8 існує програма довідки Windows, тому що, якщо вона є, мені може знадобитися її видалити з міркувань безпеки.

Чи включає Windows 8 довідкова програма Windows (WinHlp32.exe)?


Моє враження, що Microsoft кілька років тому припинила використання цього формату файлів. Вони перейшли до нового подібного файлового формату, ви повинні використовувати цей формат, я серйозно сумніваюся, що цей вектор атаки навіть зараз може бути використаний.
Рамхаунд

Відповіді:


14

C:\Windows\winhlp32.exeвстановлений у Windows 8 - це лише заглушка (~ 10 КБ). Він не показує і не відкриває .hlpфайли! Вам не потрібно видаляти цей файл.

Існує додаткове оновлення KB917607 (.msu) для Windows 8, яке дозволяє працювати з .hlpфайлами, але це оновлення може встановлюватися вручну лише користувачем. Після установки цього оновлення C:\Windows\winhlp32.exeбуде більше 100 КБ (точно сказати не можу).


У x64 Windows Enterprise після застосування цього оновлення winhlp32.exe становить 287 744 байт.
Марк Аллен

1
Це стосується і Win 7 (принаймні 64-розрядної версії Win 7 pro у мене тут). На жаль, значна кількість програм, які я використовую, не отримала нагадування та оновлена ​​до нової довідкової системи. Гей, його минуло лише десятиліття ....
RBerteig

Я відредагував вашу публікацію, щоб просто повернути свій запис і внести +1. Я неправильно зрозумів це, але тепер зрозумів, що помилявся. : P
avirk

1
Це вірно з Vista, і тоді вони представили KB917607 як додатковий додаток для відновлення Winhlp32, якщо це потрібно.
Юйонг Бао

6

Очистіть Встановити OEM Pro RTM OEM, все, що зроблено, це відкрити вікно довідки та підтримки. Клацніть правою кнопкою миші відкрити або подвійним клацанням отримує вікно підтримки.

Він повинен бути встановлений вручну

введіть тут опис зображення

.

введіть тут опис зображення


Про це я говорю у своїй відповіді: P
avirk

2
@avirk: Насправді відповідь Моаба підтверджує те, що сказав Максимус, що, хоча EXE може існувати за замовчуванням, це лише проста заглушка і насправді не відкриє файли .HLP, і, отже, не може діяти як вектор атаки . Після встановлення оновлення EXE замінюється на більший, який не є заглушкою, і він фактично працює, і коли це може становити загрозу, якщо інфіковані .HLP будуть відкриті.
Каран

0

Я щойно спробував запустити його на Windows 8, і він працює, тому він точно є.
Також є посилання на Windows 8 на MSDN .

Перш ніж видалити його, можливо, ви захочете перевірити, чи була знижена ця "функціональність", щоб її більше не можна було використовувати зловмисно.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.