Giám sát quá trình: Entrys với BUFFER OVERFLOW


17

Hiện tại tôi đang cố gắng giải quyết các vấn đề về hiệu năng của IE 8 trên hệ thống của mình.

Tôi đã phân tích hệ thống của mình với Trình theo dõi quá trình Sysiternals và tìm thấy rất nhiều mục nhập "BUFFER OVERFLOW" trong Nhật ký (Xem bên dưới). Bất kỳ ý tưởng để giải quyết vấn đề?

Cảm ơn bạn trước! Các mục nhật ký chẳng hạn:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144

Câu trả lời:


29

Đây không phải là một lỗi. Điều đang xảy ra là chương trình đang yêu cầu dữ liệu về độ dài mà nó không biết. Nó cung cấp một bộ đệm ban đầu. Nếu nó quá nhỏ, tràn bộ đệm được trả về cùng với kích thước cần thiết và chương trình có thể phát hành lại yêu cầu với kích thước chính xác. Đừng nhầm lẫn với việc sử dụng thuật ngữ tràn bộ đệm để chỉ định ghi đè sai dữ liệu có thể dẫn đến lỗ hổng bảo mật.


1
Điều đó không có nghĩa là cuộc gọi thứ hai sẽ có được thành công? Tôi đang thấy 5 cuộc gọi liên tiếp cho cùng một DLL với BUFFER OVERFLOW và tôi không thấy bất kỳ cuộc gọi thành công nào. Âm thanh như nó đang thử lại và thất bại và không bao giờ thành công.
Shiv

0

Thỉnh thoảng tôi nhận thấy điều này trong các chương trình khác nhau, và rất nhiều máy quét và công cụ mạng mang lại điều này cho tôi.

Bước hợp lý đầu tiên là thu hẹp "lỗi" hoặc vấn đề, nếu bạn muốn - bằng cách xem Process Monitor và xem xét khi nào nó xảy ra và cố gắng sao chép nó. Nếu bạn gặp sự cố, hãy thử điều chỉnh bộ lọc của bạn.

Tôi đang thử điều này ngay bây giờ và tôi thấy BluetoothView.exekết quả là tràn bộ đệm (BO) sau khi tạo một tệp, và sau đó truy vấn cùng tệp đó - đó là nguyên nhân gây ra BO. Một ví dụ là một ví dụ trong đó dưới một phần nghìn giây, BluetoothView tạo BO với thao tác : QuerySecurityFile (BluetoothApis.dll).

Dưới Processtab trong Event Properties(trong procmon), có một danh sách các module bao gồm các file shell chung và những thứ như SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dllvà codec, và phần mềm Nirsoft khác như Mạng Explorer. Mặc dù những điều này có thể đã bị phát hiện bởi Bluetooth, nhưng thật lạ là chương trình thực tế không bao giờ bật lên bất cứ điều gì.

Dưới Stacktab, các module là: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exe, và <unknown>.

Tôi đã kiểm tra điều này bởi vì tôi đã rời khỏi nhà của tôi trong một thời gian và để máy tính của tôi chạy trong vài ngày, khi tôi quay lại, tôi nhận thấy một vài thứ không đúng chỗ và chỉ muốn kiểm tra. Sau khi mở Trình quản lý tác vụ, máy tính của tôi bị sập và không còn tải Windows 8. Thay vì màn hình tải / giật gân cho W8, bốn hoặc năm dòng mã nhấp nháy trên màn hình, vì đèn báo nhấp nháy ở trên cùng bên trái (chỉ báo nhấp nháy ở trên cùng bên trái cho bạn biết rằng các lệnh có thể được nhập) thả khoảng 4 hoặc 5 dòng xuống màn hình, đây không phải là chức năng bình thường.

Tôi đã phải làm một số điều độc đáo để có thể quay lại Windows, nhưng tôi sẽ không đi sâu vào vấn đề đó.

Trong trường hợp của bạn, và trong tôi, tôi nghĩ bước tiếp theo là chọc vào chương trình này, và cũng để xem xét các chương trình mà nó đang chơi xung quanh.


điều này cũng có thể giúp ích: blog.technet.com/b/markrussinovich/archive/2005/05/17/NH
asilentfire
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.