Process Monitor: ingressi con BUFFER OVERFLOW

17

Attualmente sto cercando di risolvere i problemi di prestazioni di IE 8 sul mio sistema.

Ho analizzato il mio sistema con Sysinternals Process Monitor e ho trovato molte voci di "BUFFER OVERFLOW" nel registro (vedi sotto). Qualche idea per risolvere il problema?

Grazie in anticipo! Accedere ai registri, ad esempio:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
windows-7  troubleshooting  process-monitor 
LaPhi
fonte

Risposte:

29

Questo non è un errore. Quello che sta succedendo è che il programma richiede dati di cui non è a conoscenza. Fornisce un buffer iniziale. Se è troppo piccolo, viene restituito un overflow del buffer insieme alle dimensioni necessarie e il programma può riemettere la richiesta con le dimensioni corrette. Non confondere con l'uso del termine buffer overflow per designare la sovrascrittura errata dei dati che può portare a una vulnerabilità della sicurezza.

David Marshall
fonte
1
Ciò non implica che la seconda chiamata avrà successo? Ricevo 5 chiamate consecutive per la stessa DLL con BUFFER OVERFLOW e non vedo alcuna chiamata riuscita. Sembra che stia tentando di fallire e non riuscire mai.
Shiv
0

Lo noto di tanto in tanto in diversi programmi e molti scanner e strumenti di rete lo fanno anche per me.

Il primo passo logico è restringere l '"errore" o il problema, se lo desideri, guardando Process Monitor e guarda quando succede e prova a replicarlo. In caso di problemi, prova a regolare i filtri.

Sto provando questo ora e ho scoperto BluetoothView.exedi provocare un overflow del buffer (BO) dopo aver creato un file e quindi interrogato lo stesso file, che è ciò che ha causato il BO. Un esempio è un caso in cui meno di un millesimo di un millesimo di secondo, BluetoothView crea una BO con l'operazione: QuerySecurityFile (BluetoothApis.dll).

Sotto la Processscheda inEvent Properties (a procmon), v'è una lista dei moduli inclusi i file di shell comuni e cose come SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dlle codec, e altri software Nirsoft come Network Explorer. Sebbene queste cose possano essere state rilevate dal Bluetooth, è strano che il programma reale non abbia mai mostrato nulla.

Sotto la Stackscheda, i moduli sono: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll,guard32.dll , fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exe, e <unknown>.

Lo stavo verificando perché avevo lasciato la mia casa per un po 'e avevo lasciato il computer acceso per alcuni giorni, quando sono tornato ho notato alcune cose fuori posto e volevo solo controllare. Dopo aver aperto Task Manager il mio computer si è bloccato e non ha più completato il caricamento di Windows 8. Invece di una schermata di caricamento / splash per W8, quattro o cinque righe di codice hanno lampeggiato sullo schermo, come l'indicatore lampeggiante in alto a sinistra (quello che consente di sapere che è possibile immettere i comandi) rilasciare circa 4 o 5 righe sullo schermo, che non è una funzione normale.

Ho dovuto fare alcune cose non convenzionali per poter tornare a Windows, ma non ci penserò.

Nel tuo caso, e nel mio, penso che il prossimo passo sia quello di dare un'occhiata a questo programma, e anche di esaminare i programmi con cui sta giocando.

asilentfire
fonte
asilentfire
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.