Monitor procesu: Entrys z PRZEPŁYWEM BUFORA

17

W tej chwili próbuję rozwiązać problemy z wydajnością IE 8 w moim systemie.

Przeanalizowałem mój system za pomocą Sysinternals Process Monitor i znalazłem wiele wpisów „PRZEPŁYW BUFORA” w Dzienniku (patrz poniżej). Jakieś pomysły na rozwiązanie problemu?

Z góry dziękuję! Wpisy do dziennika na przykład:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
LaPhi
źródło

Odpowiedzi:

29

To nie jest błąd. To, co się dzieje, to program żąda danych, których długości nie zna. Zapewnia bufor początkowy. Jeśli jest zbyt mały, zwracany jest błąd przepełnienia bufora wraz z wymaganym rozmiarem, a program może ponownie wysłać żądanie o prawidłowym rozmiarze. Nie należy mylić terminu „przepełnienie bufora” w celu oznaczenia błędnego zastąpienia danych, które może prowadzić do podatności na zagrożenia.

David Marshall
źródło
1
Czy to nie oznacza, że ​​drugie połączenie odniesie sukces? Widzę 5 kolejnych wywołań dla tej samej biblioteki DLL z PRZEPŁYWEM BUFORA i nie widzę żadnych udanych wywołań. Wygląda na to, że próbuje ponownie i kończy się niepowodzeniem i nigdy się nie udaje.
Shiv
0

Widzę to od czasu do czasu w różnych programach, a wiele skanerów sieciowych i narzędzi to również dla mnie.

Pierwszym logicznym krokiem jest zawężenie „błędu” lub problemu, jeśli chcesz - obserwując Monitor procesu i sprawdzając, kiedy to się dzieje, i próbując go powtórzyć. Jeśli masz problemy, spróbuj dostosować filtry.

Próbuję tego teraz i okazało się, BluetoothView.exeże po utworzeniu pliku przepełnienie bufora (BO) następuje po wysłaniu zapytania do tego samego pliku - co spowodowało BO. Jednym przykładem jest przypadek, w którym w czasie krótszym tysięcznych milisekundy BluetoothView tworzy BO z operacji: QuerySecurityFile (BluetoothApis.dll).

Zgodnie z Processwypustką w Event Properties(w procmon), znajduje się lista modułów w tym wspólnych plików powłoki i rzeczy takie jak SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dlli kodeków i innych programów, takich jak NirSoft Explorer Network. Chociaż może to mieć wpływ na działanie Bluetooth, to dziwne, że rzeczywisty program nigdy niczego nie znalazł.

Pod Stackzakładce moduły są: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exe, i <unknown>.

Sprawdzałem to, ponieważ opuściłem dom na jakiś czas i pozostawiłem komputer uruchomiony przez kilka dni, kiedy wróciłem, zauważyłem kilka rzeczy nie na miejscu i chciałem tylko to sprawdzić. Po otwarciu Menedżera zadań komputer zawiesił się i nie mógł już dokończyć ładowania systemu Windows 8. Zamiast ekranu ładowania / powitania dla W8 na ekranie migały cztery lub pięć wierszy kodu, jako migający wskaźnik w lewym górnym rogu (ten, który informuje, że można wprowadzać polecenia) upuszcza około 4 lub 5 linii w dół ekranu, co nie jest normalną funkcją.

Musiałem zrobić kilka niekonwencjonalnych rzeczy, aby móc wrócić do systemu Windows, ale nie chcę tego robić.

W twoim przypadku i moim myślę, że następnym krokiem jest pogrzebanie w tym programie, a także przyjrzenie się programom, z którymi się bawi.

asilentfire
źródło