Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Erweiterung !processirps zeigt Informationen zu E/A-Anforderungspaketen (IRPs) an, die Prozessen zugeordnet sind.
!processirps
!processirps ProcessAddress [Flags]
Parameter
**** ProcessAddress
Die Adresse eines Prozesses. Wenn Sie ProcessAddress angeben, werden nur IRPs angezeigt, die diesem Prozess zugeordnet sind. Wenn Sie ProcessAddress nicht angeben, werden IRPs für alle Prozesse angezeigt.
**** Flags
Ein bitweises OR eines oder mehrerer der folgenden Flags.
Bit 0 (0x1)
Zeigt IRPs an, die in Threads in der Warteschlange stehen.
Bit 1 (0x2)
Zeigt IRPs an, die in der Warteschlange für Dateiobjekte stehen.
Wenn Sie Flags angeben, müssen Sie auch ProcessAddress angeben. Wenn Sie nicht Flags angeben, werden IRPs in die Warteschlange für Threads und Dateiobjekte gestellt.
DLL
kdexts.dll
Hinweise
Mit diesem Befehl können Sie schnell alle in der Warteschlange befindlichen IRPs für einen Prozess identifizieren, sowohl diejenigen, die in der Warteschlange für Threads stehen, als auch diejenigen, die in der Warteschlange für Dateiobjekte stehen. IRPs werden in die Warteschlange für ein Dateiobjekt gestellt, wenn dem Dateiobjekt ein Abschlussport zugeordnet ist.
Beispiele
Sie können den Befehl !process verwenden, um Prozessadressen abzurufen. Beispielsweise könnten Sie die Prozessadresse für explorer.exe abrufen.
2: kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
...
PROCESS fffffa800688c940
SessionId: 1 Cid: 0bbc Peb: 7f70da5e000 ParentCid: 0b84
DirBase: 2db10000 ObjectTable: fffff8a0025bd440 HandleCount: 1056.
Image: explorer.exe
Jetzt können Sie die Prozessadresse für explorer.exe an den Befehl !processirps " übergeben. Die folgende Ausgabe zeigt, dass explorer.exe IRPs in der Warteschlange für Threads und IRPs in der Warteschlange für Dateiobjekte hat.
2: kd> !processirps fffffa800688c940
**** PROCESS fffffa800688c940 (Image: explorer.exe) ****
Checking threads for IRPs.
Thread fffffa800689f080:
IRP fffffa80045ccc10 - Owned by \FileSystem\Ntfs for device fffffa8004f5c030
IRP fffffa800454f650 - Owned by \FileSystem\Ntfs for device fffffa8004f5c030
...
IRP fffffa80068e9c10 - Owned by \FileSystem\Ntfs for device fffffa8004f5c030
Checking file objects for IRPs.
FileObject fffffa80068795e0 (handle 8bc):
IRP fffffa8006590cf0 - Owned by \Driver\DeviceApi for device DeviceApi (fffffa800363ae40)
...
FileObject fffffa8005bf59c0 (handle 900):
IRP fffffa8006659010 - Owned by \Driver\DeviceApi for device DeviceApi (fffffa800363ae40)