Czy system Windows 8 zawiera program Pomocy systemu Windows (WinHlp32.exe)?

9

W 2011 r. Firma Symantec poinformowała o użyciu rozszerzenia pliku pomocy systemu Windows (.hlp) jako wektora ataku w atakach ukierunkowanych.

Funkcjonalność pliku pomocy umożliwia wywołanie interfejsu API systemu Windows, który z kolei umożliwia wykonanie kodu powłoki i instalację złośliwych plików danych. Ta funkcjonalność nie jest exploitem, ale z założenia.

Oto mapa ciepła wykrywania szkodliwych plików WinHelp ( Bloodhound.HLP.1i Bloodhound.HLP.2):

wprowadź opis zdjęcia tutaj

Chciałbym wiedzieć, czy program Pomocy systemu Windows domyślnie istnieje na moim komputerze z systemem Windows 8, ponieważ jeśli tak, może być konieczne jego usunięcie ze względów bezpieczeństwa.

Czy system Windows 8 zawiera program Pomocy systemu Windows (WinHlp32.exe)?

security windows-8 help-files amiregelz
źródło
Miałem wrażenie, że Microsoft przestał używać tego formatu pliku kilka lat temu. Przenieśli się do nowego podobnego formatu pliku, powinieneś użyć tego formatu, poważnie wątpię, że ten wektor ataku może być nawet używany obecnie.
Ramhound,

Odpowiedzi:

14

C:\Windows\winhlp32.exezainstalowany w systemie Windows 8 to tylko kod pośredniczący (~ 10 KB). Nie pokazuje ani nie otwiera .hlpplików! Nie musisz usuwać tego pliku.

Dostępna jest opcjonalna aktualizacja KB917607 (.msu) dla systemu Windows 8, która pozwala na pracę z .hlpplikami, ale ta aktualizacja może być zainstalowana ręcznie tylko przez użytkownika. Po zainstalowaniu ta aktualizacja C:\Windows\winhlp32.exebędzie większa niż 100 KB (nie można powiedzieć dokładnie).

Maximus
źródło
W systemie Windows Enterprise x64 po zastosowaniu tej aktualizacji plik winhlp32.exe ma 287 744 bajtów.
Mark Allen,
1
Dotyczy to również Win 7 (przynajmniej Win 7 pro 64-bit mam tutaj). Niestety spora liczba programów, z których korzystam, nie ma wiadomości i nie została zaktualizowana do nowszego systemu pomocy. Hej, to była dopiero dekada ....
RBerteig,
Zredagowałem twój post, by odzyskać moje zdanie i dać mu +1. Źle to zrozumiałem, ale teraz zdaję sobie sprawę, że się myliłem. : P
avirk
1
Jest to prawdą od czasu Vista i tak, wprowadzili KB917607 jako opcjonalny dodatek do przywracania Winhlp32, jeśli jest to potrzebne.
Yuhong Bao,
6

Czysta instalacja systemu Windows Pro RTM OEM, wszystko, co robi winhlp32, to otwarcie okna Pomoc i obsługa techniczna. Kliknięcie prawym przyciskiem myszy lub podwójne kliknięcie otwiera okno pomocy technicznej.

Musi być zainstalowany ręcznie

wprowadź opis zdjęcia tutaj

.

wprowadź opis zdjęcia tutaj

Moab
źródło
O tym mówię w mojej odpowiedzi: P
avirk
2
@avirk: W rzeczywistości odpowiedź Moaba potwierdza to, co powiedział Maximus, że chociaż EXE może domyślnie istnieć, jest to tylko zwykły skrót i w rzeczywistości nie otwiera plików .HLP, a zatem nie może działać jako wektor ataku . Po zainstalowaniu aktualizacji plik EXE zostaje zastąpiony większym, który nie jest kodem pośredniczącym i faktycznie działa, czyli wtedy, gdy może stanowić zagrożenie, jeśli zainfekowane pliki .HLP zostaną otwarte.
Karan,
0

Właśnie próbowałem uruchomić go w systemie Windows 8 i działa, więc na pewno tam jest.
Istnieją również odniesienia do systemu Windows 8 w MSDN .

Zanim go usuniesz, możesz chcieć sprawdzić, czy ta „funkcjonalność” została stonowana, aby nie mogła być dłużej wykorzystywana złośliwie.

Brzytwa
źródło