Windows 8 include il programma Guida di Windows (WinHlp32.exe)?


9

Nel 2011, Symantec ha segnalato l'uso dell'estensione del file della Guida di Windows (.hlp) come vettore di attacco in attacchi mirati.

La funzionalità del file della guida consente una chiamata all'API di Windows che, a sua volta, consente l'esecuzione di codice shell e l'installazione di file payload dannosi. Questa funzionalità non è un exploit, ma lì per progettazione.

Ecco la mappa di calore di rilevamento dei file WinHelp ( Bloodhound.HLP.1e Bloodhound.HLP.2) dannosi :

inserisci qui la descrizione dell'immagine

Vorrei sapere se il programma di Guida di Windows esiste sul mio computer Windows 8 per impostazione predefinita, perché in tal caso potrebbe essere necessario rimuoverlo per motivi di sicurezza.

Windows 8 include il programma Guida di Windows (WinHlp32.exe)?


La mia impressione è stata che Microsoft abbia sospeso l'uso di questo formato di file diversi anni fa. Si sono spostati in un nuovo formato di file simile, è necessario utilizzare quel formato, dubito seriamente che questo vettore di attacco possa essere utilizzato attualmente.
Ramhound,

Risposte:


14

C:\Windows\winhlp32.exeinstallato con Windows 8 è solo uno stub (~ 10 KB). Non mostra né apre .hlpfile! Non è necessario cancellare questo file.

Esiste l'aggiornamento facoltativo KB917607 (.msu) per Windows 8 che consente di lavorare con i .hlpfile, ma questo aggiornamento può essere installato manualmente solo dall'utente. Dopo aver installato questo aggiornamento C:\Windows\winhlp32.exesarà più di 100 KB (non posso dire esattamente).


Su x64 Windows Enterprise dopo aver applicato tale aggiornamento, winhlp32.exe è di 287.744 byte.
Mark Allen,

1
Questo vale anche per Win 7 (almeno Win 7 pro 64-bit che ho qui). Sfortunatamente, un discreto numero di programmi che utilizzo non ha il memo e aggiornato al nuovo sistema di aiuto. Ehi, è stato solo un decennio ....
RBerteig,

Ho modificato il tuo post solo per ottenere il mio voto negativo e per farlo +1. L'avevo frainteso ma ora mi rendo conto che mi sbagliavo. : P
avirk,

1
Questo è vero da quando Vista, e sì hanno introdotto KB917607 come componente aggiuntivo opzionale per ripristinare Winhlp32 se necessario.
Yuhong Bao,

6

Installazione pulita di Windows Pro RTM OEM, tutto lo stub winhlp32 è aprire la finestra Guida e supporto. Fare clic con il tasto destro del mouse su Apri o fare doppio clic per visualizzare la finestra di supporto.

Deve essere installato manualmente

inserisci qui la descrizione dell'immagine

.

inserisci qui la descrizione dell'immagine


Questo è ciò di cui sto parlando nella mia risposta: P
avirk,

2
@avirk: In realtà la risposta di Moab conferma ciò che ha detto Maximus, che mentre EXE potrebbe esistere di default, è solo un semplice stub e non aprirà effettivamente i file .HLP, e quindi non può agire come un vettore di attacco . Dopo aver installato l'aggiornamento, il file EXE viene sostituito con uno più grande che non è uno stub e funziona davvero, ed è allora che potrebbe costituire una minaccia se si aprissero .HLP infetti.
Karan,

0

Ho appena provato a eseguirlo su Windows 8 e funziona, quindi è sicuramente lì.
Ci sono anche riferimenti a Windows 8 su MSDN .

Prima di eliminarlo, potresti voler verificare se questa "funzionalità" è stata attenuata in modo che non possa più essere utilizzata in modo dannoso.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.