为什么我会在Winqual的WER软件列表视图中看到似乎有人失败？ [英] Why would I see what appears to be someone elses crash in my WER Software list views on Winqual?

问题描述

最近我看过几封电子邮件 WERPASUP @ microsoft .com 来自 使用 WER for Software 询问为什么他们在不属于他们自己的进程中看到崩溃。 我认为这个问题会成为一个很好的帖子。答案很简单，但首先是一些背景......

Lately I have seen a few emails to WERPASUP@microsoft.com from ISVs using WER for Software asking why they are seeing crashes in processes that are not their own.  I thought that this question would make an excellent post.  The answer is simple, but first a bit of background...

文件映射（将WER报告与在 http：// winqual.microsoft.com ）基于USERMODE可移植可执行文件（如a）的标头信息。 DLL，.EXE，.OCX等。实际上，我们使用PE文件中的文件名，版本和linkdate等元素进行映射。这是通过一个名为"AppMap.exe"的简单工具完成的......正确称为Microsoft产品反馈映射工具。

< span style ="font-size：9.5pt; color：black"> 从最终用户的计算机上，发送给Microsoft的大多数WER报告包含进程名称（.EXE）以及在进程被拆除时在堆栈顶部加载的模块。 WER报告还包含相应的文件版本（在某些情况下甚至包含链接日期）。报告的这一部分称为"崩溃签名"。或"事件参数"，是报告中用于匹配映射的部分。

现在，我知道你在说什么... 为什么我会在我的WER报告中看到我没有映射的fpr可执行文件中的崩溃吗？

好的，这是简单的答案; 这是因为你已经映射了一个恰好是的模块（或一些PE文件）当别人的进程崩溃时，在堆栈的顶部。 就是这样。 ......简单明了。

Okay, here is the simple answer; it's because you have mapped a module (or some PE file) that happens to be at the top of the stack at the time someone else's process was crashed.  That’s it.  …plain and simple.

在这种情况下，由于您的映射模块，您将能够看到该事件。映射流程的公司也会看到相同的事件。两家公司将事件映射到它们的原因是因为在这种情况下需要分析.MDMP，因为故障可能是由模块引起的，也可能不是由模块引起的，而是在栈中更深层的文件中可能由映射过程的公司。

如果您只想查看流程中的失败（例如，您重写一个公共库而您不感兴趣在查看其他公司产品中的redist的崩溃时，您需要做的只是映射 应用程序的可执行文件。通过这种方式，您将看到所有崩溃（以及堆栈顶部的任何模块），其中只有您的进程崩溃。

< span style ="font-size：9.5pt; color：black">

总的来说，我通常只说映射贵公司开发的PE文件（按产品名称分组）并排除您获得重新授权的文件，除非您计划对公共redist进行一些持续工作（或与开发公共库的公司合作）。请记住，您始终可以创建一个专用于您的公共库的新映射，以便您的视图被分段，并且您不会被其他人员进程所淹没。 ...如果您不小心在其他分组中添加了您想要的文件，只需删除Manage下的文件映射即可Winqual中WER软件的映射部分。

亲切的问候，

- 杰森

推荐答案

那么，是否有可能看到任何公司的崩溃事件uct？

说黑客将IEXPLORE.EXE和MSIMN.EXE与他所在公司的产品一起映射。然后他得到它的所有崩溃，分析它们，如果当然没有源，但仍然有一些pdb可从公共服务器获得。他注意到最有趣的问题并请求堆转储以便他们收集数据样本。然后他可能会知道微软之前的一些严重漏洞。

你如何防范这种情况？

So, is it possible to see crashes of any company product ?

Say a hacker mapped IEXPLORE.EXE and MSIMN.EXE along with the products of a company he works for. Then he gets all the crashes for it, analyses them, without source if course, but still with some pdb's available from the public server. He notices the most interesting issues and requests heap dump for them to collect data samples. Then he might know about some serious vulnerability before Microsoft guys.

How do you protect against this ?

这篇关于为什么我会在Winqual的WER软件列表视图中看到似乎有人失败？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！