【已解决】VSE8.5i Patch 3 存在的Bug和“Bug”的分析和解决方法

散人安

原帖由 panjean 于 2007-9-30 12:02 发表
先安装HotFix  HF360824

注意看官方文档，HF360824是解决安装Patch3后出现蓝屏现象的，而且安装HF360824前必须先安装Patch3：

Issue:
   A D1 bugcheck (blue screen) can occur with
   VirusScan Enterprise 8.5i when it is
   installed on heavily loaded servers.

Notes:
1. McAfee recommends that VirusScan Enterprise
   8.5i Patch 2 or 3 be checked in to ePolicy
   Orchestrator or ProtectionPilot, and
   installed prior to deploying or installing
   this HotFix.

[ 本帖最后由 iuanog 于 2007-9-30 15:04 编辑 ]

小邪邪

仅设定一个自定义规则，为“禁止指定进程访问网络”端口阻止规则，包含进程：alajfalkfjakf.exe（胡乱取的，用于测试），从端口0到65535，禁止出站和入站，然后不断用Maxthon打开同样一组网站，结果，只要开启该规则，每隔两三分钟，VSE图标就会红框加身，打开一看，竟然是192.168.1.XXX和DNS服务器的IP，而此时，反复用Maxthon打开同样一组网站，会出现全部或部分无法访问。将iexplorer, maxthon.exe, svchost.exe加入到排除进程中，故障依然。关闭端口阻止规则，网络一切正常，测试网站均能打开。

如果所指定进程是一个不存在的东西，却还会报警的话，那真是活见鬼了



不过本人打上了P3补丁后却一切正常无比，端口保护规则照常工作（封锁范围也是1—65535）

情况有点复杂

lostering

我在看所有贴之前装的PATCH3，是直接装的，没有装HOTFIX，也没有停止服务，同时还运行着HIPS6.1，装好后没出过任何问题，现在我觉得诡异了……

散人安

原帖由 小邪邪 于 2007-9-30 12:51 发表


如果所指定进程是一个不存在的东西，却还会报警的话，那真是活见鬼了



不过本人打上了P3补丁后却一切正常无比，端口保护规则照常工作（封锁范围也是1—65535）

情况有点复杂

你的规则是否取消了“入站”，我将“入站”取消后，就没有报警了。

是啊，很复杂，关键是“个体差异性”效应（医学名词），相关因素太多，而每个用户的环境都存在这样那样的区别，故而有些用户老是碰到这样那样的问题，而另一些用户则一切正常。可你没法去一一排查，所以你很难去找到导致问题的根本原因。

觉得大企业用户的安全管理人员估计不太敢发布Patch3，几百台机子，“个体差异性”就更丰富了。^_^

PS：端口范围应该是从0到65535，一共65536个端口吧？

ljyang5230

原帖由 iuanog 于 2007-9-30 11:12 发表


首先，针对你的帖子：发布Patch3后，本论坛的帖子我都一一认真拜读过，包括你没有提及的McAfee官方知识库以及麦粉论坛；而自己在安装和使用Patch3时，发现存在一些不明所以的Bug，并自行在可正常运行的Patch1环境 ...

"做一个草率的批评者是最容易的，也是最无意义的"。说得对!

ccw8642

我没设置端口规则！

rururu101

我也出现过楼主所说的问题。先是安装p3后反复重启，后来只好卸了重装。导入我以前自定义的规则，其中有一条是阻止所有程序访问网络，开启，发现有时上的去有时上不去网，速度也很慢，看日志好像阻止了dns访问网络，不明原因，目前只好关闭了此规则。

Rabies

是以前的端口阻止存在BUG，而Patch3把它修正了而已；以下转自麦粉丝中文社区：

原帖由 小熊 于 2007-9-28 10:12 发表
升级后规则的识别和作用应当发生了一些变化，比如某些端口封掉本身是错误的，Patch3以前默认就自动将他例外或者到一个端口的策略就无效
但是Patch3就不一样，作的规则是什么就是什么
所以大批DNS无法获得解析，当然上不了QQ，上不了Web了
蓝屏和重启肯定和规则是有关系的

散人安

原帖由 Rabies 于 2007-9-30 14:14 发表
是以前的端口阻止存在BUG，而Patch3把它修正了而已；以下转自麦粉丝中文社区：

　　感谢这位朋友的提示，尽管你的引用论述未说到点子上，但让我突破思维定势重新去看了看“入站”的定义，从而发现所谓“Bug”的真实情况。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
原来回帖：

1，Patch 3 修正了哪些Bug，应当以官方说明为准，在补丁包内的说明文档中，没有看到你所说的情况。

2，到底如何，实际情况说了算。安装 Patch 1 时开启端口阻止规则时一切正常，尚未发现有什么Bug；相反，在安装 Patch 3 后，马上出现部分或全部上不了网的状况。这种状况是不是Bug，我们往下讲。

3，何谓“某些端口封掉本身是错误的”？“Patch 3 以前默认就自动将他例外或者到一个端口的策略就无效”的自动视为例外或无效的标准又是什么？对于iexplorer.exe来说，它的“天性”是要上网的，那么我封掉它发挥“天性”需要的那些端口是不是错误的呢？如果我这么设定了，Patch 1 会默认将iexplorer.exe“天性”需要的那些端口视为例外吗？你引用的那段话很玄啊……^_^

4，“但是Patch3就不一样，作的规则是什么就是什么，所以大批DNS无法获得解析，当然上不了QQ，上不了Web了”，这个结论和实际情况恰好相反。我在安装了 Patch 3 的电脑上只开启一条端口阻止规则，定的规则是lkjklhslgsg.exe（子虚乌有进程）不得通过端口0~65535入站或出站。理论上说，这样一条端口阻止规则纯属虚构，不会对电脑联网有任何影响吧。结果呢？用Maxthon反复打开同一组网页进行测试，VSE立刻报警，显示为内网IP或DNS服务器的IP被该端口组织规则阻止，而此时则出现全部或部分打不开网页的情况。请问，DNS域名解析是通过什么实现的啊？！svchost.exe,iexplorer.exe,Maxthon.exe这样的进程可以做域名解析。如果我阻止了这三项进程访问网络，那当然上不了网，可我定的是lkjklhslgsg.exe进程啊，怎么也会导致DNS解析不了呢。更荒唐的是，lkjklhslgsg.exe根本就是子虚乌有的啊。

[ 本帖最后由 iuanog 于 2007-9-30 18:18 编辑 ]

whuaok

关于这个Patch3 观望了几天 一直没敢装 就是因为见到有这样那样的问题
后来看大家有说装了内存占用小了的 官方也发布了 忍不住下了装上 还好目前一切正常
(没有装什么蓝屏补丁)   估计大家机器不一样 软件环境不一样 所以出的问题也不一样吧