Moniteur de processus: Entrées avec BUFFER OVERFLOW

17

J'essaie actuellement de résoudre les problèmes de performances d'IE 8 sur mon système.

J'ai analysé mon système avec Sysinternals Process Monitor et trouvé de nombreuses entrées de "BUFFER OVERFLOW" dans le journal (voir ci-dessous). Des idées pour résoudre le problème?

Merci d'avance! Entrées de journal par exemple:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
LaPhi
la source

Réponses:

29

Ce n'est pas une erreur. Ce qui se passe, c'est que le programme demande des données dont il ne connaît pas la longueur. Il fournit un tampon initial. S'il est trop petit, un dépassement de tampon est renvoyé avec la taille requise et le programme peut réémettre la demande avec la taille correcte. Ne pas confondre avec l'utilisation du terme dépassement de tampon pour désigner l'écrasement erroné des données qui peut conduire à une vulnérabilité de sécurité.

David Marshall
la source
1
Cela ne signifie-t-il pas que le deuxième appel aura du succès? Je vois 5 appels consécutifs pour la même DLL avec BUFFER OVERFLOW et je ne vois aucun appel réussi. On dirait qu'il recommence et échoue et ne réussit jamais.
Shiv
0

Je le constate moi-même de temps en temps dans différents programmes, et beaucoup de scanners et d'outils réseau me permettent également de le faire.

La première étape logique consiste à réduire «l'erreur» ou le problème, si vous le souhaitez - en observant Process Monitor et en regardant quand cela se produit et en essayant de le répliquer. Si vous rencontrez des problèmes, essayez d'ajuster vos filtres.

J'essaie maintenant et j'ai constaté un BluetoothView.exedébordement de tampon (BO) après avoir créé un fichier, puis interrogé ce même fichier - ce qui est à l'origine du BO. Un exemple est une instance où en moins d' une milliseconde millièmes de, BluetoothView crée une BO avec l'opération: QuerySecurityFile (BluetoothApis.dll).

Sous l' Processonglet Event Properties(en procmon), il y a une liste de modules , y compris les fichiers shell communs et des choses telles que SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dllet les codecs, et d' autres logiciels Nirsoft tels que Réseau Explorer. Bien que ces choses aient pu être effectuées par Bluetooth, il est étrange que le programme réel n'ait jamais rien révélé.

Sous l' Stackonglet, les modules sont: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exeet <unknown>.

Je vérifiais cela parce que j'avais quitté ma maison pendant un certain temps et laissé mon ordinateur en marche pendant quelques jours, quand je suis revenu, j'ai remarqué quelques choses hors de propos et je voulais juste vérifier. Après avoir ouvert le Gestionnaire des tâches, mon ordinateur est tombé en panne et ne terminait plus le chargement de Windows 8. Au lieu d'un écran de chargement / démarrage pour W8, quatre ou cinq lignes de code ont clignoté à l'écran, comme l'indicateur clignotant en haut à gauche (celui qui vous permet de savoir que des commandes peuvent être entrées) déposez environ 4 ou 5 lignes sur l'écran, ce qui n'est pas une fonction normale.

J'ai dû faire des choses non conventionnelles pour pouvoir revenir dans Windows, mais je ne vais pas entrer dans les détails.

Dans votre cas, et dans le mien, je pense que la prochaine étape consiste à fouiner dans ce programme, et aussi à examiner les programmes avec lesquels il joue.

asilentfire
la source
cela pourrait aussi aider: blogs.technet.com/b/markrussinovich/archive/2005/05/17/…
asilentfire