web-dev-qa-db-fra.com

Process Monitor: Entrées avec BUFFER OVERFLOW

J'essaie de résoudre IE 8 problèmes de performances de mon système pour le moment.

J'ai analysé mon système avec Sysinternals Process Monitor et trouvé de nombreuses entrées de "BUFFER OVERFLOW" dans le journal (voir ci-dessous). Des idées pour résoudre le problème?

Merci d'avance! Entrées de journal par exemple:

iexplore.exe RegQueryValue HKLM\System\CurrentControlSet\services\NetBT\Linkage\Export BUFFER OVERFLOW Length: 144
communicator.exe RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
Outlook.EXE RegQueryValue HKLM\System\CurrentControlSet\services\Tcpip\Linkage\Bind BUFFER OVERFLOW Length: 144
16
LaPhi

Ce n'est pas une erreur. Ce qui se passe, c'est que le programme demande des données dont il ignore la longueur. Il fournit un tampon initial. S'il est trop petit, un dépassement de tampon est renvoyé avec la taille requise et le programme peut relancer la demande avec la taille correcte. Ne confondez pas avec l'utilisation du terme débordement de tampon pour désigner le remplacement erroné des données pouvant conduire à une faille de sécurité.

28
David Marshall

Je le remarque moi-même de temps en temps dans différents programmes, et de nombreux scanners et outils de réseau y parviennent également.

La première étape logique consiste à limiter "l'erreur" ou le problème, si vous le souhaitez - en surveillant Process Monitor, surveillez le moment opportun et tentez de le répliquer. Si vous rencontrez des problèmes, essayez d’ajuster vos filtres.

J'essaie ceci maintenant et j'ai trouvé que BluetoothView.exe entraînait un débordement de tampon (BO) après la création d'un fichier, puis interrogeait ce même fichier - ce qui est à l'origine du BO. Un exemple est un exemple où, en moins d’un millième de seconde, BluetoothView crée un BO avec l’opération: QuerySecurityFile (BluetoothApis.dll).

Sous l'onglet Process dans Event Properties (dans procmon), il existe une liste de modules comprenant des fichiers Shell communs et des éléments tels que SkyDriveShell.dll, KernelBase.dll, ieframe.dll, Windows.Media.Streaming.dll et codecs, ainsi que d'autres logiciels Nirsoft tels que l'Explorateur réseau. Bien que Bluetooth ait pu détecter ces effets, il est étrange que le programme actuel n’ait rien révélé.

Sous l'onglet Stack, les modules sont les suivants: ntdll.dll, kernel32.dll, wow64.dll, wow64cpu.dll, guard32.dll, fltmgr.sys, ntoskrnl.exe, apphelp.dll, BluetoothView.exe et <unknown>.

Je vérifiais cela parce que j'avais quitté la maison pendant un certain temps et laissé mon ordinateur en marche pendant quelques jours. À mon retour, j'ai remarqué quelques petites choses déplacées et je voulais juste vérifier. Après l’ouverture du Gestionnaire des tâches, mon ordinateur est tombé en panne et le chargement de Windows 8 n’était plus terminé. Au lieu d’un écran de chargement/démarrage pour W8, quatre ou cinq lignes de code ont clignoté à l’écran, le voyant clignotant en haut à gauche (celui qui vous permet de savoir que des commandes peuvent être entrées) déposez environ 4 ou 5 lignes sur l’écran, ce qui n’est pas une fonction normale.

Je devais faire des choses non conventionnelles pour pouvoir revenir à Windows, mais je n'entrerai pas dans les détails.

Dans votre cas, et dans le mien, je pense que la prochaine étape consiste à fouiller dans ce programme et à examiner également les programmes avec lesquels il joue.

0
asilentfire