Enthält Windows 8 das Windows-Hilfsprogramm (WinHlp32.exe)?

9

Im Jahr 2011 berichtete Symantec über die Verwendung der Erweiterung Windows Help File (.hlp) als Angriffsvektor bei gezielten Angriffen.

Die Funktionalität der Hilfedatei ermöglicht einen Aufruf der Windows-API, die wiederum die Ausführung von Shell-Code und die Installation schädlicher Nutzdaten ermöglicht. Diese Funktionalität ist kein Exploit, sondern beabsichtigt.

Hier ist die Heatmap zur Erkennung bösartiger WinHelp-Dateien ( Bloodhound.HLP.1& Bloodhound.HLP.2):

Geben Sie hier die Bildbeschreibung ein

Ich möchte wissen, ob das Windows-Hilfsprogramm standardmäßig auf meinem Windows 8-Computer vorhanden ist. In diesem Fall muss ich es möglicherweise aus Sicherheitsgründen entfernen.

Enthält Windows 8 das Windows-Hilfsprogramm (WinHlp32.exe)?

security windows-8 help-files amiregelz
quelle
Ich hatte den Eindruck, dass Microsoft die Verwendung dieses Dateiformats vor einigen Jahren eingestellt hat. Sie sind in ein neues ähnliches Dateiformat umgezogen. Sie sollten dieses Format verwenden. Ich bezweifle ernsthaft, dass dieser Angriffsvektor derzeit sogar verwendet werden kann.
Ramhound

Antworten:

14

C:\Windows\winhlp32.exeUnter Windows 8 ist nur ein Stub installiert (~ 10 KB). Es werden keine .hlpDateien angezeigt oder geöffnet ! Sie müssen diese Datei nicht löschen.

Es gibt ein optionales Update KB917607 (.msu) für Windows 8, mit dem mit .hlpDateien gearbeitet werden kann. Dieses Update kann jedoch nur vom Benutzer manuell installiert werden. Nach der Installation wird dieses Update C:\Windows\winhlp32.exemehr als 100 KB groß sein (kann nicht genau sagen).

Maximus
quelle
Unter x64 Windows Enterprise beträgt winhlp32.exe nach dem Anwenden dieses Updates 287.744 Byte.
Mark Allen
1
Dies gilt auch für Win 7 (zumindest für Win 7 Pro 64-Bit, das ich hier habe). Leider haben einige Programme, die ich verwende, das Memo nicht und wurden auf das neuere Hilfesystem aktualisiert. Hey, es ist erst ein Jahrzehnt her ...
RBerteig
Ich habe deinen Beitrag bearbeitet, um meine Downvote zurückzubekommen und um +1 zu erreichen. Ich hatte es falsch verstanden, aber jetzt merke ich, dass ich falsch lag. : P
avirk
1
Dies gilt seit Vista, und ja, sie haben KB917607 als optionales Add-On eingeführt, um Winhlp32 bei Bedarf wiederherzustellen.
Yuhong Bao
6

Neuinstallation von Windows Pro RTM OEM. Der winhlp32-Stub öffnet lediglich das Hilfe- und Supportfenster. Rechtsklick öffnen mit oder Doppelklick ruft das Support-Fenster auf.

Es muss manuell installiert werden

Geben Sie hier die Bildbeschreibung ein

.

Geben Sie hier die Bildbeschreibung ein

Moab
quelle
Das ist es, worüber ich in meiner Antwort spreche: P
avirk
2
@avirk: Eigentlich bestätigt Moabs Antwort, was Maximus gesagt hat, dass die EXE zwar standardmäßig existiert, aber nur ein Stub ist und keine .HLP-Dateien öffnet und daher nicht als Angriffsvektor fungieren kann . Nach der Installation des Updates wird die EXE-Datei durch eine größere ersetzt, die kein Stub ist und tatsächlich funktioniert. In diesem Fall kann sie eine Bedrohung darstellen, wenn infizierte .HLPs geöffnet werden.
Karan
0

Ich habe gerade versucht, es unter Windows 8 auszuführen, und es funktioniert, also ist es definitiv da.
Es gibt auch Verweise auf Windows 8 in MSDN .

Bevor Sie es löschen, möchten Sie möglicherweise überprüfen, ob diese "Funktionalität" abgeschwächt wurde, damit sie nicht mehr böswillig verwendet werden kann.

Rasierer
quelle