Prozessmonitor: Einträge mit BUFFER OVERFLOW


17

Ich versuche gerade, Probleme mit der Leistung von IE 8 auf meinem System zu lösen.

Ich habe mein System mit Sysinternals Process Monitor analysiert und viele Einträge von "BUFFER OVERFLOW" im Protokoll gefunden (siehe unten). Irgendwelche Ideen, um das Problem zu lösen?

Danke im Voraus! Log-Einträge zum Beispiel:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144

Antworten:


29

Dies ist kein Fehler. Was passiert ist, dass das Programm Daten anfordert, deren Länge es nicht kennt. Es bietet einen Anfangspuffer. Wenn es zu klein ist, wird ein Pufferüberlauf zusammen mit der benötigten Größe zurückgegeben, und das Programm kann die Anforderung mit der richtigen Größe erneut ausgeben. Verwechseln Sie nicht den Begriff Pufferüberlauf, um das fehlerhafte Überschreiben von Daten zu kennzeichnen, das zu einer Sicherheitslücke führen kann.


1
Bedeutet das nicht, dass der zweite Anruf Erfolg haben wird? Ich sehe 5 aufeinanderfolgende Aufrufe für dieselbe DLL mit BUFFER OVERFLOW und sehe keine erfolgreichen Aufrufe. Klingt so, als ob es wiederholt wird und fehlschlägt und niemals erfolgreich ist.
Shiv

0

Ich bemerke das selbst gelegentlich in verschiedenen Programmen, und viele Netzwerkscanner und -tools bewirken dies auch für mich.

Der erste logische Schritt besteht darin, den "Fehler" oder das Problem einzugrenzen, wenn Sie möchten. Schauen Sie sich Process Monitor an, schauen Sie nach, wann dies geschieht, und versuchen Sie, es zu replizieren. Wenn Sie Probleme haben, passen Sie die Filter an.

Ich versuche dies jetzt und habe festgestellt BluetoothView.exe, dass es nach dem Erstellen einer Datei zu einem Pufferüberlauf (B0) kommt, und dann dieselbe Datei abgefragt - was das B0 verursacht hat. Ein Beispiel ist ein Fall , in dem in weniger als ein Tausendstel einer Millisekunde, eine Bluetooth BO mit der Operation erzeugt: QuerySecurityFile (BluetoothApis.dll).

Unter der ProcessRegisterkarte Event Properties(in procmon) gibt es eine Liste der Module einschließlich gemeinsamer Shell - Dateien und Dinge wie SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dllund Codecs und andere Nirsoft Software wie Network Explorer. Obwohl sich herausstellt, dass diese Dinge durch Bluetooth verursacht wurden, ist es merkwürdig, dass das eigentliche Programm nie etwas aufgedreht hat.

Unter der StackRegisterkarte die Module sind: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exe, und <unknown>.

Ich überprüfte dies, weil ich mein Haus für eine Weile verlassen hatte und meinen Computer für ein paar Tage laufen ließ. Als ich zurückkam, bemerkte ich ein paar Dinge, die fehl am Platz waren und wollte nur nachsehen. Nach dem Öffnen des Task-Managers stürzte mein Computer ab und konnte Windows 8 nicht mehr vollständig laden. Statt eines Lade- / Begrüßungsbildschirms für W8 blinkten vier oder fünf Codezeilen auf dem Bildschirm, als blinkende Anzeige oben links (diejenige, die Windows 8 nicht mehr vollständig geladen hat) lässt Sie wissen, dass Befehle eingegeben werden können), lassen Sie etwa 4 oder 5 Zeilen auf dem Bildschirm fallen, was keine normale Funktion ist.

Ich musste einige unkonventionelle Dinge tun, um wieder in Windows zu gelangen, aber darauf werde ich nicht eingehen.

In Ihrem und meinem Fall denke ich, dass der nächste Schritt darin besteht, in diesem Programm herumzustöbern und sich auch die Programme anzusehen, mit denen es herumspielt.


Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.