Windows 8是否包括Windows帮助程序（WinHlp32.exe）？

9

Symantec在2011年报告了使用Windows帮助文件（.hlp）扩展名作为定向攻击中的攻击媒介的情况。

帮助文件的功能允许调用Windows API，从而允许执行Shell代码和安装恶意有效内容文件。此功能不是漏洞利用，而是设计使然。

这是恶意的WinHelp文件（Bloodhound.HLP.1＆Bloodhound.HLP.2）检测热图：

在此处输入图片说明

我想知道Windows 8机器上默认是否存在Windows帮助程序，因为如果这样做，出于安全原因，我可能需要将其删除。

Windows 8是否包括Windows帮助程序（WinHlp32.exe）？

security windows-8 help-files

— 阿米列格兹
source

我的印象是，几年前Microsoft停止使用此文件格式。他们移到了一种新的类似文件格式，您应该使用该格式，我严重怀疑这种攻击媒介目前是否可以使用。

— Ramhound 2012年

Answers:

14

C:\Windows\winhlp32.exeWindows 8安装的仅存根（〜10KB）。它不显示或打开.hlp文件！您无需删除此文件。

Windows 8 有一个可选更新KB917607（.msu）.hlp，该更新允许使用文件，但是此更新只能由用户手动安装。安装此更新C:\Windows\winhlp32.exe后将超过100KB（无法确切说明）。

— 马克西姆斯
source

在应用该更新后的x64 Windows Enterprise上，winhlp32.exe为287,744字节。

— 马克·艾伦

1

在Win 7上也是如此（至少我在这里有Win 7 pro 64-bit）。不幸的是，我使用的许多程序都没有备忘录，也没有更新到较新的帮助系统。嘿，这只是十年而已....

— RBerteig

我修改了您的信息，只是为了收回我的反对票，并将其设为+1。我误解了，但现在我意识到我错了。：P

— avirk 2012年

1

自Vista以来就是如此，是的，他们引入了KB917607作为可选附件，以在需要时还原Winhlp32。

— 于洪宝

6

干净安装Windows Pro RTM OEM，winhlp32存根所做的所有事情都是打开“帮助和支持”窗口。右键单击打开或双击即可获得支持窗口。

必须手动安装

在此处输入图片说明

。

在此处输入图片说明

— 摩押
source

那就是我在回答的问题：P

— avirk 2012年

2

@avirk：实际上Moab的回答证实了Maximus所说的话，虽然EXE默认可能存在，但它只是一个存根，实际上不会打开.HLP文件，因此不能充当攻击媒介。安装此更新后，EXE替换为一个更大的EXE，而不是存根，并且可以正常运行，在这种情况下，如果打开被感染的.HLP，则可能构成威胁。

— 卡兰2012年

0

我刚刚尝试在Windows 8上运行它，并且它可以正常工作，所以它肯定在那里。
在MSDN上也有对Windows 8的引用。

在删除它之前，您可能想检查一下是否已缩小此“功能”，以使其不再可以被恶意使用。

— 剃刀
source

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.

Licensed under cc by-sa 3.0 with attribution required.