【已解决】VSE8.5i Patch 3 存在的Bug和“Bug”的分析和解决方法

散人安

　　到目前为止，个人用户在安装和使用 VSE8.5i  Patch 3 上主要遇到两类问题，其中一个是真Bug，而另一个是假“Bug”。但可喜的是，无论是哪一种问题，目前都有解决办法：

　　1，安装后出现频繁重启的现象，（官方自报Bug说安装在重负载服务器上有蓝屏现象，但实际中未见有人反映，可能与操作系统有关？重启是蓝屏的另一种表现？^_^）严重时，会导致无法启动。这是真 Bug 。据我的测试，这一现象应该是因为安装 Patch 3 时打开了访问保护等实时防护，其中某些规则或设置可能会导致重启的现象。

　　解决办法：最好是在关闭访问保护、缓冲区溢出保护、有害程序策略等实时防护后，再依次安装 Patch 3 和补丁包中自带的 HotFix 360824（解决蓝屏的）。然后重启，并一一打开实时防护。

　　个人眼中的最完美安装方案：1，卸载现有 VSE 及其反间谍模块；2，安装 VSE 8.5.0i （注意：不是 VSE 8.5.0i Plus Patch 1 ）；3，安装 McAfee Anti-Spyware Enterprise Module 8.5.0 多国语言版；4，关掉访问保护、缓冲区溢出保护、有害程序策略等实时防护；5，安装 VSE8.5i  Patch 3 ；6，安装 HotFix 360824（Patch 3 补丁包内自带）；7，安装最新版的 SuperDAT ；8，打去除McAfee VirusScan Enterprise启动界面的补丁；9，重启；10，一一打开实时防护，并进行设置。

　　2，安装 Patch 3 后，在开启端口阻止规则的情况下会出现部分或全部无法访问网络的情况，这是假“Bug”。出现这种情况的用户，一般是打开了端口阻止规则，并勾选了“入站”选项。解决问题的关键在于如何去理解“入站”的定义。
　　由于在 Patch 1 中勾选“入站”选项不会出现访问网络障碍，所以大部分人都将“入站”理解为防止网络中的系统通过指定端口“访问”指定进程。 （注意了！）而实际上“入站”的正确理解是：“禁止网络中的系统访问这些本地端口”（程序界面的提示），“防止网络中的系统访问指定端口”（VSE 8.5i 说明文档中的描述）！请再对比“出站”的解释：“防止本地进程访问网络中的指定端口”。从字面上看，“出站”要看是否是指定端口还要看是否是指定进程，而“入站”则不问进程，只要是你指定的端口或端口范围，一律阻止。这一点在日志报告中也可以看出，绝大部分日志都会说明是哪一项进程违反了哪一项规则（包括端口阻止规则），而唯独“入站”规则不会指出是哪一项进程违反了规则。这也从侧面佐证，“入站”的正确理解是不问进程，只管端口。

　　从这一点看，确实不是 Patch 3 在端口阻止规则上有Bug，而是 Patch 1 在端口阻止规则上有Bug。（注意：不是两者对“入站”的定义有差别，VSE 8.5i 说明文档中自始至终对“入站”的定义是防止网络中的系统访问指定端口。）

　　解决方案：重新修正已有端口阻止规则的“入站”设定。或者取消“入站”，或者修正阻止“入站”的端口或端口范围。 （注意！）那种将从端口0~65535一网打尽的端口阻止规则再也不敢勾选“入站”选项了，呵呵。

　　PS：在此，向 Rabies 朋友同时表示歉意和谢意。他的回帖虽然没有说到点子上，但却启发了我打破思维定势，重新看了看程序界面的提示和说明文档对“入站”的解释，从来发现原来我们一直对“入站”的理解存在以讹传讹的错误认识（谁讹的？Patch 1。^_^），从而发现所谓“Bug”的真实情况。汗~~  

　　再PS：谁有剑盟中国、龙卷风、龙族等论坛的邀请码，望友情赞助一个。请给我发短消息或发送到我的邮箱：iuanog@yahoo.com.cn


-------------------------------------------------------------------------------------------------------------

原帖（先前在对“入站”概念认识错误时对所谓“Bug“的探索和分析，有兴趣的朋友可以看看）：

　　标题：经测试，VSE8.5i  Patch 3 在安装和端口阻止规则上存在重大Bug。　

　　1，经数次测试，在 McAfee VirusScan Enterprise 8.5.0i Plus Patch 1 开启访问保护（开启部分官方规则，无自定义规则，可正常安装软件）、缓冲区溢出保护（默认设置）、有害程序策略（默认设置）等的状态下安装 Patch 3 ，会导致电脑出现重启现象，严重时可导致无法正常开机。具体表现为，当 Patch 3 安装完毕后自动启动VSE服务时，电脑突然自动重启，而此后每当系统启动进入桌面时要启动VSE服务时又会再次重启。
　　个人判断，应当是访问保护、缓冲区溢出保护、有害程序策略本身或其中某项设定或开启的某项官方规则导致出现该Bug，具体是哪项设置或哪一条规则导致反复重启，一一排查是一件很麻烦的事情，而且由于“个体差异性”，可能导致故障的相关因素太多，而每个用户的环境都存在这样那样的区别，故而有些用户会碰到这样那样的问题，而另一些用户则一切正常，你很难去一一排查。也正是因为这个原因， （注意！）我不能说安装 Patch 3 会必然导致重启，但在开启某些正常设置和环境下安装会导致频繁或偶尔出现重启，是不应该的，一个完善的补丁是应当能够在用户正常使用和不用特别修改设置的情况下成功布置的，尤其是对于VSE这种专门为大企业内部网统一发布和安装的企业安全软件而言，故而我认为这是 Patch 3 的一个Bug。
　　解决方法：关闭访问保护、缓冲区溢出保护、有害程序策略后，再安装 Patch 3  。
　　
　　----------------------------------------------------------------------
　　
　　2，经反复测试，安装 Patch 3  后，如果开启了端口阻止规则，会导致全部或部分访问不了网络。测试环境：仅开启部分官方规则，仅设定一个自定义规则，为“禁止指定进程访问网络”端口阻止规则，包含进程：alajfalkfjakf.exe（胡乱取的，用于测试），从端口0到65535，禁止出站和入站，然后不断用Maxthon打开同样一组网站，结果，只要开启该规则，每隔两三分钟，VSE图标就会红框加身，打开一看，竟然是192.168.1.XXX和DNS服务器的IP，而此时，反复用Maxthon打开同样一组网站，会出现全部或部分无法访问。将iexplorer, maxthon.exe, svchost.exe加入到排除进程中，故障依然。关闭端口阻止规则或取消入站选项，网络一切正常，测试网站均能打开。
　　纳闷，在这个测试中， （注意！）仅开启一个端口阻止规则中，而且只包含一个根本不存在的alajfalkfjakf.exe进程，居然也会报警，并导致网络全部或部分无法访问。看到这种荒唐的结果，我认为，打过Patch3后，端口阻止规则已经不能按照设定运行，那可以说端口阻止规则已经失灵了。
　　 （注意！）强烈建议有兴趣的朋友，请做同样的一个测试。看看这个Bug是否是普遍和必然的。
　　解决办法：　[:16:] （注意！）只有一个变通的解决方法：如果你的端口阻止规则是禁止指定进程访问网络的话，请关闭“入站”选项。一般情况下，限制该进程出站，已基本达到禁止其访问网络的目的？郁闷，Patch1可没有这毛病，对这所谓的变通解决方法，我是有疑虑的。
　　
　　
　　----------------------------------------------------------------------
　　
　　结论：从 Patch 3 的更新日志中可以看出，Patch 3 解决的Bug，与个人用户或不相干或无所谓或无影响或难以遇到，不打 Patch 3 对VSE的安全防护能力毫无影响，而打过该补丁后，却会导致安装和端口阻止规则上出现数项重大Bug，其中，安装后出现重启或蓝屏的Bug可以解决，而端口阻止规则上出现的Bug，已经完全不正常，可以说是安装Patch3后会导致端口阻止规则出现不明原因不明几率的失灵，暂时只有使用变通方法“解决”，但貌似依然存在隐患。故建议，暂时不要用 Patch 3 ，用回  Patch 1 和 HotFix 320829 吧。一样可以解决VsTskMgr.exe 和 McShield.exe 频繁出现高CPU占用的问题。

　　－－－－－－－－－－－－－－－－－－－－－－－－－－

　　请阅读上文时注意下半部是原帖（先前对“入站”概念认识错误时的探索和分析，可不看），最终结论和解决办法在最上面。

　　最后说一声：欢迎大家进入 VSE 8.5i Patch 3 的时代！

[ 本帖最后由 iuanog 于 2007-10-5 11:36 编辑 ]

cloudsyk3

不是吧
我用了好像还好
有过2次重启但不能确定是PATCH3的问题

xlx845

发贴前先看看论坛里先前发的贴吧.这个贴好无意义

散人安

原帖由 cloudsyk3 于 2007-9-30 10:17 发表
不是吧
我用了好像还好
有过2次重启但不能确定是PATCH3的问题

1，出现重启现象是在安装Patch3前还是在安装后出现的，具体表现是什么；
2，在什么设置下安装的Patch3，以及在安装后是否有改动设置；

gdlgz

楼主，你安装的时候是否打上了补丁包里的另外一个补丁，安装循序对否？

ronliang

没遇到楼主的情况，一切正常。。。

散人安

原帖由 xlx845 于 2007-9-30 10:40 发表
发贴前先看看论坛里先前发的贴吧.这个贴好无意义

首先，针对你的帖子：发布Patch3后，本论坛的帖子我都一一认真拜读过，包括你没有提及的McAfee官方知识库以及麦粉论坛；而自己在安装和使用Patch3时，发现存在一些不明所以的Bug，并自行在可正常运行的Patch1环境下，进行了一些相关测试，确认Patch3确实在安装及端口阻止规则上存在明显的Bug。其中，安装后出现重启或蓝屏的Bug可以解决，而端口阻止规则上出现的Bug，已经完全不正常，可以说是Patch3会导致端口阻止规则出现不明原因不明几率的失灵，暂时找不到解决方案，且即便使用变通方法“解决”也会导致存在安全隐患。出于分享经验和发现的目的，我将个人的发现和分析发到论坛上。

其次，针对你的态度：做一个草率的批评者是最容易的，也是最无意义的。

yashoo

强烈关注此贴。。。

panjean

先安装HotFix  HF360824

散人安

原帖由 gdlgz 于 2007-9-30 11:01 发表
楼主，你安装的时候是否打上了补丁包里的另外一个补丁，安装循序对否？

安装Patch3后就自动重启了。

至于你提及的补丁包内的另一个补丁HF360824，不得不说，大家普遍对其存在误解和以误传误。根据它的说明文档，“  A D1 bugcheck (blue screen) can occur with  VirusScan Enterprise 8.5i when it is   installed on heavily loaded servers.”它是解决蓝屏问题的，而重启现象其实官方并没有提供补丁。

而至于有些人提及的HotFix 320829，那就更不是解决蓝屏和重启Bug的了，而是解决VsTskMgr.exe and McShield.exe某些情况下高CPU占用的问题。注意官方说明文档：“   When an AutoUpdate Task completes its copy of new DAT files into the engine folder,VirusScan services and Microsoft Outlook can spike CPU utilization for periods of time in excess of one minute.”