Process Monitor: Entradas com o BUFFER OVERFLOW

14

Estou tentando resolver problemas de desempenho do IE 8 no meu sistema no momento.

Analisei meu sistema com o Sysinternals Process Monitor e encontrei muitas entradas do "BUFFER OVERFLOW" no log (veja abaixo). Alguma idéia para resolver o problema?

Agradeço antecipadamente! Entradas de registro por exemplo: 

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
OUTLOOK.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
windows-7  troubleshooting  process-monitor 
LaPhi
fonte

Respostas:

27

Isso não é um erro. O que está acontecendo é que o programa está solicitando dados cujo comprimento não conhece. Ele fornece um buffer inicial. Se for muito pequeno, um estouro de buffer será retornado junto com o tamanho necessário e o programa poderá reemitir a solicitação com o tamanho correto. Não confunda com o uso do termo estouro de buffer para designar a substituição errônea de dados que pode levar a uma vulnerabilidade de segurança.

David Marshall
fonte
1
Isso não implica que a segunda chamada terá sucesso? Estou vendo 5 chamadas consecutivas para a mesma DLL com BUFFER OVERFLOW e não vejo nenhuma chamada bem-sucedida. Parece que está tentando e falhando e nunca obtendo êxito.
Shiv
0

Eu percebo isso ocasionalmente em programas diferentes, e muitos scanners de rede e ferramentas trazem isso também para mim.

O primeiro passo lógico é restringir o "erro", ou problema, se você quiser - observando o Process Monitor e verificar quando isso acontece e tentar replicá-lo. Se você estiver com problemas, tente ajustar seus filtros.

Eu estou tentando isso agora e eu encontrei BluetoothView.exe para resultar em estouro de buffer (BO) depois de criar um arquivo e, em seguida, consultar esse mesmo arquivo - que é o que causou o BO. Um exemplo é uma instância em que, em menos de um milésimo de milissegundo, o BluetoothView cria um BO com a operação: QuerySecurityFile (BluetoothApis.dll).

Debaixo de Process guia em Event Properties (em procmon ), há uma lista de módulos incluindo arquivos shell comuns e coisas como SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dll e codecs e outros softwares da Nirsoft, como o Network Explorer. Embora essas coisas possam ter sido afetadas pelo Bluetooth, é estranho que o programa atual nunca tenha mostrado nada.

Debaixo de Stack guia, os módulos são: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exee <unknown>.

Eu estava checando isso porque eu tinha deixado minha casa por um tempo e deixei meu computador funcionando por alguns dias, quando voltei notei algumas coisas fora do lugar e só queria checar. Depois de abrir o Gerenciador de Tarefas, meu computador travou e não iria mais carregar o Windows 8. Em vez de uma tela de carregamento / splash para o W8, quatro ou cinco linhas de código piscavam na tela, como o indicador piscando no canto superior esquerdo permite que você saiba que os comandos podem ser inseridos) solte cerca de 4 ou 5 linhas na tela, o que não é uma função normal.

Eu tive que fazer algumas coisas não convencionais para poder voltar ao Windows, mas não vou entrar nisso.

No seu caso, e no meu, acho que o próximo passo é investigar esse programa e também analisar os programas com os quais ele está brincando.

asilentfire
fonte
asilentfire
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.