Monitor de proceso: entradas con sobreflujo de búfer

17

Estoy tratando de resolver los problemas de rendimiento de IE 8 en mi sistema en este momento.

Analicé mi sistema con Sysinternals Process Monitor y encontré muchas entradas de "BUFFER OVERFLOW" en el registro (ver más abajo). ¿Alguna idea para resolver el problema?

¡Gracias de antemano! Entradas de registro, por ejemplo:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
LaPhi
fuente

Respuestas:

29

Esto no es un error. Lo que está sucediendo es que el programa está solicitando datos cuya longitud no conoce. Proporciona un búfer inicial. Si es demasiado pequeño, se devuelve un Desbordamiento de búfer junto con el tamaño necesario y el programa puede volver a emitir la solicitud con el tamaño correcto. No confunda con el uso del término desbordamiento de búfer para designar la sobrescritura errónea de datos que puede conducir a una vulnerabilidad de seguridad.

David Marshall
fuente
1
¿No implica eso que la segunda llamada tendrá éxito? Estoy viendo 5 llamadas consecutivas para la misma DLL con BUFFER OVERFLOW y no veo ninguna llamada exitosa. Parece que está volviendo a intentarlo y fallando y nunca tiene éxito.
Shiv
0

De vez en cuando, me doy cuenta de esto en diferentes programas, y muchos escáneres y herramientas de red también me lo permiten.

El primer paso lógico es reducir el "error" o problema, si lo desea, observando Process Monitor y observe cuándo sucede e intente replicarlo. Si tiene problemas, intente ajustar sus filtros.

Estoy intentando esto ahora y descubrí BluetoothView.exeque se produce un desbordamiento del búfer (BO) después de crear un archivo y luego consultar ese mismo archivo, que es lo que causó el BO. Un ejemplo es un caso en que en menos de un milésimas de una milésima de segundo, BluetoothView crea un BO con la operación: QuerySecurityFile (BluetoothApis.dll).

Bajo la Processpestaña de Event Properties(en procmon), hay una lista de los módulos incluidos los archivos de concha comunes y cosas tales como SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dlly codecs, y otro software Nirsoft como el Explorador de red. Aunque estas cosas podrían haberse visto afectadas por Bluetooth, es extraño que el programa real nunca haya aparecido.

Bajo la Stackpestaña, los módulos son: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exe, y <unknown>.

Estaba revisando esto porque había salido de mi casa por un tiempo y dejé mi computadora en funcionamiento por unos días, cuando regresé noté algunas cosas fuera de lugar y solo quería verificar. Después de abrir el Administrador de tareas, mi computadora se bloqueó y ya no podía completar la carga de Windows 8. En lugar de una pantalla de carga / bienvenida para W8, cuatro o cinco líneas de código parpadearon en la pantalla, como el indicador parpadeante en la parte superior izquierda (el que le permite saber que se pueden ingresar comandos) suelte aproximadamente 4 o 5 líneas en la pantalla, lo cual no es una función normal.

Tuve que hacer algunas cosas poco convencionales para poder volver a Windows, pero no voy a entrar en eso.

En su caso, y en el mío, creo que el siguiente paso es hurgar en este programa y también examinar los programas con los que está jugando.

asilentfire
fuente
esto también podría ayudar: blogs.technet.com/b/markrussinovich/archive/2005/05/17/…
asilentfire