Windows 8에 Windows 도움말 프로그램 (WinHlp32.exe)이 포함되어 있습니까?


9

시만텍은 2011 년에 Windows 도움말 파일 (.hlp) 확장자를 대상 공격의 공격 경로로 사용한다고보고했습니다.

도움말 파일의 기능을 통해 Windows API를 호출하여 쉘 코드 실행 및 악성 페이로드 파일 설치를 허용합니다. 이 기능은 악용이 아니라 의도적으로 설계된 기능입니다.

악의적 인 WinHelp 파일 ( Bloodhound.HLP.1& Bloodhound.HLP.2) 감지 히트 맵은 다음과 같습니다.

여기에 이미지 설명을 입력하십시오

Windows 도움말 프로그램이 Windows 8 컴퓨터에 기본적으로 존재하는지 알고 싶습니다. 보안상의 이유로 제거해야 할 수도 있기 때문입니다.

Windows 8에 Windows 도움말 프로그램 (WinHlp32.exe)이 포함되어 있습니까?


몇 년 전 Microsoft가이 파일 형식의 사용을 중단 한 것이 인상적이었습니다. 그것들은 새로운 유사한 파일 형식으로 옮겨졌고, 그 형식을 사용해야합니다. 나는이 공격 벡터가 현재도 사용될 수 있을지 의문입니다.
Ramhound

답변:


14

C:\Windows\winhlp32.exeWindows 8과 함께 설치된 것은 스텁 전용 (~ 10KB)입니다. .hlp파일을 표시하거나 열지 않습니다 ! 이 파일을 지울 필요가 없습니다.

Windows 8 용 선택적 업데이트 KB917607 (.msu) .hlp이 있으며 파일 로 작업 할 수 있지만이 업데이트는 사용자 만 수동으로 설치할 수 있습니다. 이 업데이트 C:\Windows\winhlp32.exe를 설치하면 100KB 이상이됩니다 (정확하게 말할 수 없음).


해당 업데이트를 적용한 후 x64 Windows Enterprise에서 winhlp32.exe는 287,744 바이트입니다.
Mark Allen

1
이것은 Win 7에서도 마찬가지입니다 (적어도 여기에있는 Win 7 pro 64 비트). 불행히도, 내가 사용하는 상당히 많은 프로그램이 메모를 얻지 못했고 새로운 도움말 시스템으로 업데이트되었습니다. 이봐, 그것의 유일한 십년 ....
RBerteig

난 그냥 내 downvote를 다시 +1하기 위해 게시물을 편집했습니다. 나는 그것을 오해했지만 지금은 내가 틀렸다는 것을 깨달았습니다. : P
avirk

1
이것은 Vista 이후로 사실이었으며, 필요한 경우 Winhlp32를 복원하기위한 선택적 추가 기능으로 KB917607을 도입했습니다.
Yuhong Bao

6

Windows Pro RTM OEM을 새로 설치하십시오. winhlp32 스텁이 수행하는 모든 작업은 도움말 및 지원 창을 여는 것입니다. 마우스 오른쪽 버튼으로 열기 또는 두 번 클릭하면 지원 창이 나타납니다.

수동으로 설치 해야합니다

여기에 이미지 설명을 입력하십시오

.

여기에 이미지 설명을 입력하십시오


이것이 제가 대답 한 내용입니다 : P
avirk

2
@avirk : 막시무스가 EXE가 기본적으로 존재하는 반면, 그냥 단순한 그루터기와 것이라고 말한 사실 모압의 응답 확인한다 하지 실제로 열린 .HLP 파일, 공격 벡터 역할을 할 수 없습니다, 따라서 및 . 업데이트를 설치 한 후 EXE는 스텁이 아니고 실제로 작동하는 더 큰 것으로 대체됩니다. 감염된 .HLP가 열리면 위협이 될 수 있습니다.
Karan

0

방금 Windows 8에서 실행하려고 시도했지만 작동하므로 확실히 있습니다. MSDN의
Windows 8에 대한 참조도 있습니다 .

삭제하기 전에 더 이상 악의적으로 사용할 수 없도록이 "기능"이 해제되었는지 확인할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.