การตรวจสอบกระบวนการ: รายการที่มีค่าเกินบัฟเฟอร์


17

ฉันกำลังพยายามแก้ไขปัญหาประสิทธิภาพ IE 8 ในระบบของฉันในขณะนี้

ฉันวิเคราะห์ระบบของฉันด้วย Sysinternals Process Monitor และพบรายการ "BUFFER OVERFLOW" จำนวนมากในบันทึก (ดูด้านล่าง) ความคิดใด ๆ ในการแก้ปัญหา?

ขอบคุณล่วงหน้า! รายการบันทึกตัวอย่างเช่น:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144

คำตอบ:


29

นี่ไม่ใช่ข้อผิดพลาด สิ่งที่เกิดขึ้นคือโปรแกรมกำลังร้องขอข้อมูลความยาวที่ไม่ทราบ มันให้บัฟเฟอร์เริ่มต้น ถ้ามันมีขนาดเล็กเกินไป Buffer Overflow จะถูกส่งกลับพร้อมขนาดที่ต้องการและโปรแกรมสามารถออกคำร้องขอใหม่ด้วยขนาดที่ถูกต้อง อย่าสับสนกับการใช้คำว่า buffer overflow เพื่อกำหนดการเขียนทับข้อมูลที่ผิดพลาดซึ่งอาจทำให้เกิดช่องโหว่ด้านความปลอดภัย


1
นั่นไม่ได้หมายความว่าการโทรครั้งที่สองจะประสบความสำเร็จใช่ไหม ฉันเห็นการโทร 5 ครั้งติดต่อกันสำหรับ DLL เดียวกันกับ BUFFER OVERFLOW และฉันไม่เห็นการโทรสำเร็จ ดูเหมือนว่าจะลองใหม่และล้มเหลวและไม่เคยประสบความสำเร็จ
ชีฟ

0

ฉันสังเกตเห็นตัวเองเป็นครั้งคราวในโปรแกรมที่แตกต่างกันและเครือข่ายสแกนเนอร์และเครื่องมือมากมายนำมาซึ่งเรื่องนี้เช่นกันสำหรับฉัน

ขั้นตอนแรกคือการ จำกัด "ข้อผิดพลาด" หรือปัญหาถ้าคุณต้องการ - โดยดูการตรวจสอบกระบวนการและดูเมื่อมันเกิดขึ้นและพยายามที่จะทำซ้ำ หากคุณมีปัญหาลองปรับตัวกรองของคุณ

ฉันพยายามทำสิ่งนี้ในตอนนี้และพบว่าBluetoothView.exeเป็นบัฟเฟอร์โอเวอร์โฟลว์ (BO) หลังจากสร้างไฟล์จากนั้นทำการสืบค้นไฟล์เดียวกันนั้น - ซึ่งเป็นสาเหตุของ BO ตัวอย่างหนึ่งคือตัวอย่างที่ในภายใต้พันของมิลลิวินาที BluetoothView สร้าง BO QuerySecurityFile (BluetoothApis.dll)กับการดำเนินงานที่ใช้งาน:

ภายใต้Processแท็บในEvent Properties(ในprocmon) มีรายชื่อของโมดูลรวมถึงไฟล์เปลือกทั่วไปและสิ่งเช่นSkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dllและตัวแปลงสัญญาณและซอฟแวร์ Nirsoft อื่น ๆ เช่นเครือข่าย Explorer ที่ แม้ว่าสิ่งเหล่านี้อาจพบว่าได้รับผลกระทบจากบลูทู ธ แต่ก็แปลกที่โปรแกรมจริง ๆ จะไม่ปรากฏขึ้น

ภายใต้Stackแท็บโมดูลที่มี: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, และBluetoothView.exe<unknown>

ฉันกำลังตรวจสอบสิ่งนี้เพราะฉันออกจากบ้านไปพักหนึ่งและออกจากคอมพิวเตอร์ของฉันทำงานสองสามวันเมื่อฉันกลับมาฉันสังเกตเห็นบางสิ่งนอกสถานที่และต้องการตรวจสอบ หลังจากเปิดตัวจัดการงานคอมพิวเตอร์ของฉันล้มเหลวและจะไม่โหลด Windows 8 อีกต่อไปให้เสร็จสมบูรณ์แทนที่จะเป็นหน้าจอโหลด / สาดสำหรับ W8 รหัสสี่หรือห้าบรรทัดบนหน้าจอกะพริบเป็นตัวบ่งชี้การกะพริบที่ด้านบนซ้าย (อันที่ ช่วยให้คุณทราบว่าอาจป้อนคำสั่ง) วางลงบนหน้าจอประมาณ 4 หรือ 5 บรรทัดซึ่งไม่ใช่ฟังก์ชั่นปกติ

ฉันต้องทำสิ่งที่แปลกใหม่เพื่อให้สามารถกลับไปใช้ Windows ได้ แต่ฉันจะไม่ทำเช่นนั้น

ในกรณีของคุณและในของฉันฉันคิดว่าขั้นตอนต่อไปคือการกระตุ้นรอบ ๆ โปรแกรมนี้และดูโปรแกรมที่กำลังเล่นอยู่ด้วย


สิ่งนี้อาจช่วยได้เช่นกัน: blogs.technet.com/b/markrussinovich/archive/2005/05/17/ …
asilentfire
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.