Монитор процесса: входы с переполнением буфера

Question

Я сейчас пытаюсь решить проблемы с производительностью IE 8 в моей системе.

Я проанализировал свою систему с помощью Sysinternals Process Monitor и обнаружил в журнале множество записей "BUFFER OVERFLOW" (см. Ниже). Есть идеи по решению проблемы?

Заранее спасибо! Записи журнала, например:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144

Answer 1

Это не ошибка. Происходит то, что программа запрашивает данные, длина которых она не знает. Это обеспечивает начальный буфер. Если он слишком мал, возвращается переполнение буфера вместе с необходимым размером, и программа может переиздать запрос с правильным размером. Не путайте с использованием термина «переполнение буфера» для обозначения ошибочной перезаписи данных, которая может привести к уязвимости безопасности.

Answer 2

Я иногда замечаю это в разных программах, и многие сетевые сканеры и инструменты также помогают мне в этом.

Первый логический шаг заключается в том, чтобы сузить «ошибку» или проблему, если хотите, - наблюдая за монитором процессов, проследите, когда это произойдет, и попытайтесь воспроизвести его. Если у вас возникли проблемы, попробуйте настроить фильтры.

Я пытаюсь это сейчас, и я обнаружил, что BluetoothView.exe приводит к переполнению буфера (BO) после создания файла, а затем запрашивает тот же файл - что и стало причиной BO. Одним из примеров является случай, когда BluetoothView создает менее тысячи долей миллисекунды с помощью операции: QuerySecurityFile (BluetoothApis.dll) .

На вкладке « Process » в окне « Event Properties (в procmon) есть список модулей, в том числе общие файлы оболочки и такие вещи, как SkyDriveShell.dll , KernelBase.dll , ieframe.dll , Windows.Media.Streaming.dll и кодеки и другое программное обеспечение Nirsoft, такое как Network Explorer. Хотя эти вещи могли быть обнаружены с помощью Bluetooth, странно, что настоящая программа никогда ничего не обнаруживала.

На вкладке « Stack » используются следующие модули: ntdll.dll , kernel32.dll , wow64.dll , wow64cpu.dll , guard32.dll , fltmgr.sys , ntoskrnl.exe , apphelp.dll , BluetoothView.exe и <unknown> .

Я проверял это, потому что я оставил свой дом на некоторое время и оставил свой компьютер включенным на несколько дней, когда я вернулся, я заметил несколько вещей не к месту и просто хотел проверить. После открытия диспетчера задач мой компьютер вышел из строя и больше не завершал загрузку Windows 8. Вместо экрана загрузки / заставки для W8 на экране мигали четыре или пять строк кода, поскольку мигающий индикатор в левом верхнем углу (тот, который сообщает, что команды могут быть введены) падает на 4 или 5 строк вниз экран, который не является нормальной функцией.

Я должен был сделать некоторые нетрадиционные вещи, чтобы вернуться в Windows, но я не буду вдаваться в подробности.

В вашем случае, и в моем, я думаю, что следующим шагом будет поиск по этой программе, а также поиск программ, с которыми она играет.