Monitor Proses: Entrys dengan BUFFER OVERFLOW

17

Saya sedang mencoba untuk menyelesaikan masalah kinerja IE 8 pada sistem saya saat ini.

Saya menganalisis sistem saya dengan Monitor Proses Sysinternals dan menemukan banyak entri "BUFFER OVERFLOW" di Log (Lihat di bawah). Ada ide untuk menyelesaikan masalah?

Terima kasih sebelumnya! Entri log misalnya:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
LaPhi
sumber

Jawaban:

29

Ini bukan sebuah kesalahan. Apa yang terjadi adalah program ini meminta data yang panjangnya tidak diketahui. Ini menyediakan buffer awal. Jika terlalu kecil, Buffer Overflow dikembalikan bersama dengan ukuran yang dibutuhkan dan program dapat menerbitkan ulang permintaan dengan ukuran yang benar. Jangan bingung dengan penggunaan istilah buffer overflow untuk menunjuk kesalahan penulisan data yang dapat menyebabkan kerentanan keamanan.

David Marshall
sumber
1
Bukankah itu menyiratkan bahwa panggilan kedua akan berhasil? Saya melihat 5 panggilan berurutan untuk DLL yang sama dengan BUFFER OVERFLOW dan saya tidak melihat adanya panggilan yang berhasil. Kedengarannya seperti mencoba kembali dan gagal dan tidak pernah berhasil.
Shiv
0

Saya memperhatikan hal ini sendiri kadang-kadang dalam program yang berbeda, dan banyak pemindai dan alat jaringan membawa ini juga bagi saya.

Langkah logis pertama adalah untuk mempersempit "kesalahan", atau masalah, jika Anda suka - dengan menonton Process Monitor dan melihat ketika itu terjadi dan mencoba untuk mereplikasi itu. Jika Anda mengalami masalah, coba sesuaikan filter Anda.

Saya mencoba ini sekarang dan saya menemukan BluetoothView.exehasil dalam buffer overflow (BO) setelah membuat file, dan kemudian meminta file yang sama - yang menyebabkan BO. Salah satu contoh adalah contoh di mana di bawah seperseribu milidetik, BluetoothView menciptakan BO dengan operasi: QuerySecurityFile (BluetoothApis.dll).

Di bawah Processtab di Event Properties(dalam procmon), ada daftar modul termasuk file shell umum dan hal-hal seperti SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dlldan codec, dan perangkat lunak lain Nirsoft seperti Network Explorer. Meskipun hal-hal ini mungkin diketahui dipengaruhi oleh Bluetooth, anehnya program yang sebenarnya tidak pernah menemukan apa pun.

Di bawah Stacktab, modul adalah: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exe, dan <unknown>.

Saya memeriksa ini karena saya telah meninggalkan rumah saya untuk sementara waktu dan meninggalkan komputer saya berjalan selama beberapa hari, ketika saya kembali, saya melihat beberapa hal tidak pada tempatnya dan hanya ingin memeriksa. Setelah membuka Task Manager, komputer saya mogok, dan tidak lagi menyelesaikan pemuatan Windows 8. Alih-alih memuat / memercikkan layar untuk W8, empat atau lima baris kode menyala di layar, sebagai indikator berkedip di kiri atas (salah satu yang membiarkan Anda tahu bahwa perintah dapat dimasukkan) turun sekitar 4 atau 5 baris di layar, yang bukan fungsi normal.

Saya harus melakukan beberapa hal yang tidak konvensional untuk dapat kembali ke Windows, tetapi saya tidak akan membahasnya.

Dalam kasus Anda, dan dalam kasus saya, saya pikir langkah selanjutnya adalah melihat-lihat program ini, dan juga untuk melihat ke dalam program-program yang bermain dengannya.

asilentfire
sumber
ini mungkin membantu juga: blogs.technet.com/b/markrussinovich/archive/2005/05/17/…
asilentfire