Schwerer Bug in Windows XP SP2 mit AMD64-Systemen
- Ersteller Nero24
- Erstellt am
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Das <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1092140229">Data-Execution Prevention (DEP) Feature</a> von Windows XP SP2, welches derzeit nur auf Systemen einsetzbar ist, deren Prozessor NX (No-eXecution) unterstützt, war das Sahnestück in der Marketing-Strategie von Microsoft und AMD im Vorfeld des Service-Pack 2 von Windows XP; denn der AMD Athlon 64 bzw. Opteron ist derzeit der einzige verfügbare Prozessor, der dieses Feature unterstützt. Damit soll vor allem Viren der Garaus gemacht werden, die schadhaften Code über einen <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1077016285">Bufferoverflow</a> ins System schleusen wollen.
Tragisch ist nun natürlich, dass ausgerechnet dieses Feature auf AMD Athlon 64 Systemen zu Problemen führt, genauer gesagt zu fortwährenden Reboots aufgrund eines unterdrückten Bluescreens. Verantwortlich dafür ist ein Fehler in der Windows-XP-eigenen Systemdatei Mpegport.sys, die Daten in einen Speicherbereich schreiben will, der von DEP geschützt wird. Das führt zum Bluescreen bzw. Reboot (wenn die Option "Automatisch Neustart durchführen" aktiviert ist; Default; siehe <a href="http://www.planet3dnow.de/vbulletin/showthread.php3?s=&threadid=108327">hier</a>). Dieser Treiber ist allerdings nicht bei allen Systemen geladen, weswegen der beschriebene Fehler nicht generell mit AMD64-Systemen auftritt. DVD-Decoder zum Beispiel verwenden diese Datei.
Bis Microsoft eine fehlerbereinigte Version von Mpegport.sys bereitstellen kann, wird empfohlen eine DEP-Ausnahmeregelung für die Datei Mpegport.sys zu erstellen. Dazu wie folgt vorgehen:<ul><li>Im abgesicherten Modus starten</li><li>In der Systemsteuerung den Punkt "System" öffnen</li><li>Den Reiter "Erweitert" wählen</li><li>In der Rubrik "Systemleistung" auf "Einstellungen" klicken</li><li>Den Reiter "Data Execution Prevention" wählen, DEP-Aktivieren klicken und dort mit dem Hinzufügen-Button eine Ausnahme für die Datei Mpegport.sys samt Pfad erstellen</li></ul>Einfachere Alternative wäre, DEP komplett zu deaktivieren oder SP2 zu deinstallieren; dann jedoch sind natürlich die neuen Schutzmechanismen von SP2 logischerweise nicht mehr aktiv.
Tragisch ist nun natürlich, dass ausgerechnet dieses Feature auf AMD Athlon 64 Systemen zu Problemen führt, genauer gesagt zu fortwährenden Reboots aufgrund eines unterdrückten Bluescreens. Verantwortlich dafür ist ein Fehler in der Windows-XP-eigenen Systemdatei Mpegport.sys, die Daten in einen Speicherbereich schreiben will, der von DEP geschützt wird. Das führt zum Bluescreen bzw. Reboot (wenn die Option "Automatisch Neustart durchführen" aktiviert ist; Default; siehe <a href="http://www.planet3dnow.de/vbulletin/showthread.php3?s=&threadid=108327">hier</a>). Dieser Treiber ist allerdings nicht bei allen Systemen geladen, weswegen der beschriebene Fehler nicht generell mit AMD64-Systemen auftritt. DVD-Decoder zum Beispiel verwenden diese Datei.
Bis Microsoft eine fehlerbereinigte Version von Mpegport.sys bereitstellen kann, wird empfohlen eine DEP-Ausnahmeregelung für die Datei Mpegport.sys zu erstellen. Dazu wie folgt vorgehen:<ul><li>Im abgesicherten Modus starten</li><li>In der Systemsteuerung den Punkt "System" öffnen</li><li>Den Reiter "Erweitert" wählen</li><li>In der Rubrik "Systemleistung" auf "Einstellungen" klicken</li><li>Den Reiter "Data Execution Prevention" wählen, DEP-Aktivieren klicken und dort mit dem Hinzufügen-Button eine Ausnahme für die Datei Mpegport.sys samt Pfad erstellen</li></ul>Einfachere Alternative wäre, DEP komplett zu deaktivieren oder SP2 zu deinstallieren; dann jedoch sind natürlich die neuen Schutzmechanismen von SP2 logischerweise nicht mehr aktiv.
rkinet
Grand Admiral Special
Kinderkrankheiten ...
Zeigt aber auch, wie wenig modular Windows im Design ist und was dies für Auswirkungen hat.
Aber, man kanns ja kurzfristig abstellen bzw. besser die fehlerbereinigte .sys laden.
Sieht aber alles nach Flüchtigkeitsfehler bei MS aus, aber zeigt, daß die NX-Hardware durchaus drastisch eingreift.
Ist wie ABS - kein Softbremsen sondern brutales Stoppen von Windows eben, nur so gehts auch gegen einen durchgebrochenen Virus.
Ein Virus hätte zwar auch das System theoretisch so lahm legen können, nur verbreiten kann er sich so aber auch wieder nicht. Normalerweise dürften die Viren aber bereits nach einem gewollt von Windows ausgelösten Warmstart wieder vom Rechner sein. (s.o.) Das NX-Feature muss eben so rücksichtslos sein.
Mein Tip an MS:
Baut halt noch einen Service-Modus ein, der bei sowas (Restart) automatisch den abgesicherten Modus startet und eine einfache Restauration der Windows-Sytemdateien startet.
Denn außer bei MS Programmierfehler, hätte sich so ja ein Virus/Wurm per Substitution eíner MS .sys o. .dll eingeschlichen, der wiederum zu ersetzen wäre durch die original Routine.
Fazit: Gebt Viren keinen Chance - selbst man eben mal in den 'abgesicherten Modus' gehen muß. Das NX-Bit greift halt ziemlich brutal ein, wenn der sonstige Schutz versagt.
Zeigt aber auch, wie wenig modular Windows im Design ist und was dies für Auswirkungen hat.
Aber, man kanns ja kurzfristig abstellen bzw. besser die fehlerbereinigte .sys laden.
Sieht aber alles nach Flüchtigkeitsfehler bei MS aus, aber zeigt, daß die NX-Hardware durchaus drastisch eingreift.
Ist wie ABS - kein Softbremsen sondern brutales Stoppen von Windows eben, nur so gehts auch gegen einen durchgebrochenen Virus.
Ein Virus hätte zwar auch das System theoretisch so lahm legen können, nur verbreiten kann er sich so aber auch wieder nicht. Normalerweise dürften die Viren aber bereits nach einem gewollt von Windows ausgelösten Warmstart wieder vom Rechner sein. (s.o.) Das NX-Feature muss eben so rücksichtslos sein.
Mein Tip an MS:
Baut halt noch einen Service-Modus ein, der bei sowas (Restart) automatisch den abgesicherten Modus startet und eine einfache Restauration der Windows-Sytemdateien startet.
Denn außer bei MS Programmierfehler, hätte sich so ja ein Virus/Wurm per Substitution eíner MS .sys o. .dll eingeschlichen, der wiederum zu ersetzen wäre durch die original Routine.
Fazit: Gebt Viren keinen Chance - selbst man eben mal in den 'abgesicherten Modus' gehen muß. Das NX-Bit greift halt ziemlich brutal ein, wenn der sonstige Schutz versagt.
Zuletzt bearbeitet:
PuckPoltergeist
Grand Admiral Special
Es stimmt zwar, daß Windows wenig modular ist (zumindest nach außen), nur was hat das hiermit zu tun?
StefanB
Vice Admiral Special
Das ist ja wohl ein Scherz. Es geht hier nur um eine fehlerhafte Datei!
KairoCowboy
Vice Admiral Special
Original geschrieben von cruger
ich vermute hinter diesem fehler und den verzögerungen beim 64bit windows eine verschwörung von microsoft und intel
mfg
cruger
LOL
interessant wäre noch der fad der genannten .sys - Datei...
KairoCowboy
Vice Admiral Special
die funktioniert bei mir net...
ich hab ja netmal nen A64, aber es wäre eben very comfortable gewesen das anzugeben
ich hab ja netmal nen A64, aber es wäre eben very comfortable gewesen das anzugeben
thegrompf
Vice Admiral Special
Original geschrieben von StefanB
Das ist ja wohl ein Scherz. Es geht hier nur um eine fehlerhafte Datei!
DAS war auch mein erster Gedanke....
![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
KairoCowboy
Vice Admiral Special
steht doch da...
Stonehedge
Grand Admiral Special
- Mitglied seit
- 04.07.2002
- Beiträge
- 2.408
- Renomée
- 209
interessant wäre es doch, wenn mal irgendein virus genau diesen mechanismus sich zu nutze macht. quasi so ein msblast, der nur halt nicht nen countdown zum shutdown hat, sondern sich so im autostart einnistet, dass die kiste jedesmal direkt nach dem booten wieder neu startet - völlig ohne kommentar.
klar, für jeden der ein wenig ahnung hat, wäre das albern, aber ein großteil der nutzer würde ein echtes problem haben.
von daher besteht da doch wohl noch ein generelles problem, oder sehe ich das falsch?
ich meine, eine meldung wie: "ein programm wollte auf einen geschützten speicherbereich zugreifen, dies wurde durch eine systemschutzfunktion unterbrochen. vielleicht handelt es sich um einen virus" oder so ähnlich wäre doch sinnvoller, als den gesamten rechner zu stoppen, bzw. neu zu starten....
klar, für jeden der ein wenig ahnung hat, wäre das albern, aber ein großteil der nutzer würde ein echtes problem haben.
von daher besteht da doch wohl noch ein generelles problem, oder sehe ich das falsch?
ich meine, eine meldung wie: "ein programm wollte auf einen geschützten speicherbereich zugreifen, dies wurde durch eine systemschutzfunktion unterbrochen. vielleicht handelt es sich um einen virus" oder so ähnlich wäre doch sinnvoller, als den gesamten rechner zu stoppen, bzw. neu zu starten....
KairoCowboy
Vice Admiral Special
ach ja stimmt, die option gibts gar net. toll... musst du dir wohl den willen microsofts aufzwingen lassen... oder SP2 deinstallieren... doof...
TobiasAlt
Grand Admiral Special
und ich hab mich schon gewundert wo meinen ganzen Blue Screens jetzt herkommen
rkinet
Grand Admiral Special
einfach den PC nicht einschalten ...
Ich muß schon sagen, die Reaktion von Nero24 und anderen verblüfft mich total.
Da hat Microsoft eine fälschlicherweise nicht angepasste .sys mitgeliefert und die NX-Bit Routine im OS kommt ins stolpern, wenn einen Windows eigene Datei fehlerhaft ist.
Bei einer Firewall o.ä., die zu scharf anschlägt, kommt doch auch nicht gleich 'löschen'.
Umgekehrt müßte man sich Gedanken machen.
Aber friendly fire ...
How to disable DEP
To disable DEP, perform the following actions:
* Click Start -> Run
* Enter Notepad %SYSTEMDRIVE%\Boot.ini
* Under [operating systems] replace the parameter
/NoExecute=xxxxx with /Execute
* Save the Boot.ini file
* Restart your computer
IMPORTANT: Save a copy of your original Boot.ini file as a backup
before you make changes!
Von der DivX Seite.
To disable DEP, perform the following actions:
* Click Start -> Run
* Enter Notepad %SYSTEMDRIVE%\Boot.ini
* Under [operating systems] replace the parameter
/NoExecute=xxxxx with /Execute
* Save the Boot.ini file
* Restart your computer
IMPORTANT: Save a copy of your original Boot.ini file as a backup
before you make changes!
Von der DivX Seite.
Die neuere Version mit dem Assistenten hat in der Tat ein paar Macken. Aber mit TweakUI kannst Du auf die klassische Suche umschalten und die funktioniert wunderbar.
@rkinet: Ich find's auch schade, dass auf die völlig normalen Kinderkrankheiten des SP2 bzw. auf die logischen Inkompatibilitäten einiger Software gleich so radikal reagiert wird. Die, die alles deaktivieren oder das SP2 gleich ganz entfernen, sind wahrscheinlich dann die ersten, die sich aufregen, wenn sie Malware auf dem Rechner haben.
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
...die zur Folge hat, dass man seinen PC nicht mehr booten kann.Original geschrieben von StefanB
Das ist ja wohl ein Scherz. Es geht hier nur um eine fehlerhafte Datei!
Ferner wäre ich Dir dankbar, wenn Du den ganzen Satz zitieren würdest, ok?
Ich habe Kunden, die finden nicht einmal den Startknopf, wenn ich ihnen am Telefon sage sie sollen da draufdrücken. Die kriegen das mit der Exception nie und nimmer gebacken! SP2 deinstallieren, bis MS eine gefixte Version ausliefert, sollte allerdings jeder hinkriegen. Daher die "einfachere Alternative" dazu.
Hmm, will ja nichts verharmlosen, aber wird das nicht ein wenig aufgebauscht, mit schwerem bug und so. Klingt hier ja schon fast wie beim Inquirer: "SP2 kann auf A64 nicht mehr booten....." und dann ganz hinten im Nachsatz: Wenn man eine Hardware-DVD/MPEG2-Decoderkarte im System hat. So wie ich das sehe sind nur solche Systeme betroffen, und wer kauft sich schon einen A64, um dann eine Hardware DVD-Decoderkarte zu betreiben. Dürfte wiklich fast niemanden betreffen. Deswegen ists ja offensichtlich auch beim beta nicht aufgefallen. Ansonsten wäre ein boot-Fehler ja auch nicht denkbar.
Also immer schön ruhig bleiben, wird alles nicht so heiß gegessen wie gekocht....
PS: Ist das eigentlich wirklich ne Windoof Systemdatei oder nicht eher ein "externer" Treiber (selbst wenn er von MS kommt). Auf meinem Notebook ist der jedenfalls nicht zu finden.
Also immer schön ruhig bleiben, wird alles nicht so heiß gegessen wie gekocht....
PS: Ist das eigentlich wirklich ne Windoof Systemdatei oder nicht eher ein "externer" Treiber (selbst wenn er von MS kommt). Auf meinem Notebook ist der jedenfalls nicht zu finden.
TobiasAlt
Grand Admiral Special
weis jemand wo die Mpegport.sys Datei liegt ?
Mehr als Betatesten kann man nicht.
Die Testphase war schon sehr lang, leider war keiner dabei, der einen Hardware-DVD-Dekoder hatte. Der meldet sich jetzt erst
Unter Linux gibts das nicht, weil sich die meisten ihre Hardware nach Linux aussuchen (müssen).
Bei Windows kann man alles einstecken, was man so findet
Nur, ob die dazugehörige Firma ihre Treiber unter kontrolle hat ist eine andere Frage.
Ähnliche Themen
