14.0 MP1烦人的BUG又出现了

我就是XXX

咋企业版的还这么不让人省心呢！！

tws67

驭龙 发表于 2017-2-24 15:42
因为好像根本没有修复这个BUG

占用IO的BUG，其实很容易发现
一开始就发现SEP 14的这个BUG，一直没有使用，在等更新
在单机上很难发现，但在服务器环境下两天就能发现

在我们生产环境的windows 2008 R2服务器上，由于每秒有上万的请求
SEP的防火墙会记录链接请求的数据，并记录前后的日志，比如检测端口扫描
但SEP使用的sqllit驱动有问题，这个小型数据库用来存储这些状态，在读写数据库时，会产生一个数据库的临时锁文件
IO一直占用大的问题是由于SEP一直在重复的写这个临时锁文件，最终把硬盘写满

在重启系统后，由于SEP重新开启，重新打开数据库，原有的数据库临时锁文件被清空

所以在个人PC上面，只会发现一直占用IO，但没有发现系统盘硬盘在一点点的占用到全满

麻烦驭龙提交下BUG了
SEP 12 MP6没有这个问题，MP7也有同样问题，可能是因为使用了相同的检测机制或者是使用了相同的SQLlit驱动造成的

tws67

驭龙 发表于 2017-2-24 15:42
因为好像根本没有修复这个BUG

最有可能的是SQLlit驱动造成的，当然如果多个检测机制在操作数据库，也可能会出现
SQLlit只是一个小型的嵌入式数据库，多线程读写操作时本身是不安全的，而他体现在占用碰盘时也正是读写锁临时文件一直在不断增长

驭龙

tws67 发表于 2017-3-8 15:45
占用IO的BUG，其实很容易发现
一开始就发现SEP 14的这个BUG，一直没有使用，在等更新
在单机上很难发现 ...

现在没有内测，所以我也很难反馈

另外问一下，这个SQLlit驱动是那个驱动？SEP的驱动跟NS基本一致(版本落后一点点），NS却没有这样的问题

tws67

驭龙 发表于 2017-3-8 17:14
现在没有内测，所以我也很难反馈

另外问一下，这个SQLlit驱动是那个驱动？SEP的驱动跟NS基本一致(版本 ...

SQLlit驱动就是用来存储数据的数据库的引擎
病毒特征库，行为检测特征库，配置文件存储
这些都用到，就是存放在一个关系型文件中，可以理解为像MSSQL

在嵌入式中大都用SQLlit做为小型的数据库
我见前后两个版本使用的数据引擎接口版本不一致，应该是有更新
怀疑是更新的检测系统对存储的数据进行操作时存在冲突，特别是多线程操作数据

驭龙

tws67 发表于 2017-3-9 13:59
SQLlit驱动就是用来存储数据的数据库的引擎
病毒特征库，行为检测特征库，配置文件存储
这些都用到，就 ...

就是存放在一个关系型文件中

其实我就是想知道是那个文件中，这样我也可以分析一下了。

不过这个问题，只能是等官方解决了，我们是无能为力的

tws67

驭龙 发表于 2017-3-9 14:25
就是存放在一个关系型文件中

其实我就是想知道是那个文件中，这样我也可以分析一下了。

我一会查下日志，两个月前的了，不知道系统日志还有没有保存

tws67

驭龙 发表于 2017-3-9 14:25
就是存放在一个关系型文件中

其实我就是想知道是那个文件中，这样我也可以分析一下了。

C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS\netstat.db

这个是存放防火墙网络状态的，
使用时会先申请一个数据库接口句柄，产生一个netstat.db-shm的状态文件，读写文件时产生一个netstat.db-wal状态锁文件
在正常情况下netstat.db-wal这个文件会上下浮动，不会一直增长
但SEP14 和12 M7，状态锁文件会一直不断暴增

不单是网络状态数据存在这问题，BASHV4.DB病毒特征这里也会出现，如果磁盘大并发IO读写的话
在大访问量的情况下，很明显

驭龙

tws67 发表于 2017-3-9 15:11
C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IPS\netstat.db

这个是 ...

这应该不算问题根本，因为netstat是IPS系统的存储数据，而SEP 14的IPS驱动和引擎只是跟NS相比落后一点点，而NS在用与SEP 14的IPS相同版本时，并没有SEP的这个BUG

BASHV4这个结构一直存在，驱动模块和引擎是与NS的版本相同的

问题应该是因为SEP 14的某个模块导致存储数据异常读取的