Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L'extension !processirps affiche des informations sur les paquets de requêtes d'E/S (IRP) associés aux processus.
!processirps
!processirps ProcessAddress [Flags]
Paramètres
**** ProcessAddress
L'adresse d'un processus. Si vous spécifiez ProcessAddress, seules les IRP associées à ce processus sont affichées. Si vous ne spécifiez pas ProcessAddress, les IRP de tous les processus sont affichées.
**** Indicateurs
Un OU bit à bit d'un ou plusieurs des indicateurs suivants.
Bit 0 (0x1)
Afficher les IRP en file d'attente pour les threads.
Bit 1 (0x2)
Afficher les IRP mises en file d'attente pour les objets fichiers.
Si vous spécifiez des indicateurs, vous devez également spécifier ProcessAddress. Si vous ne spécifiez pas d'indicateurs, les IRP mises en file d'attente pour les threads et les objets fichiers sont affichées.
DLL
kdexts.dll
Notes
Cette commande vous permet d'identifier rapidement toutes les IRP en file d'attente pour un processus, à la fois celles qui sont en file d'attente pour les threads et celles qui sont en file d'attente pour les objets fichiers. Les IRP sont mises en file d'attente vers un objet fichier lorsque l'objet fichier est associé à un port d'achèvement.
Exemples
Vous pouvez utiliser la commande !process pour obtenir les adresses des processus. Par exemple, vous pouvez obtenir l’adresse du processus pour explorer.exe.
2: kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
...
PROCESS fffffa800688c940
SessionId: 1 Cid: 0bbc Peb: 7f70da5e000 ParentCid: 0b84
DirBase: 2db10000 ObjectTable: fffff8a0025bd440 HandleCount: 1056.
Image: explorer.exe
Vous pouvez maintenant transmettre l'adresse du processus de l'explorateur.exe à la commande !processirps. La sortie suivante montre qu'explorateur.exe a des IRP en file d'attente pour les threads et des IRP en file d'attente pour les objets fichiers.
2: kd> !processirps fffffa800688c940
**** PROCESS fffffa800688c940 (Image: explorer.exe) ****
Checking threads for IRPs.
Thread fffffa800689f080:
IRP fffffa80045ccc10 - Owned by \FileSystem\Ntfs for device fffffa8004f5c030
IRP fffffa800454f650 - Owned by \FileSystem\Ntfs for device fffffa8004f5c030
...
IRP fffffa80068e9c10 - Owned by \FileSystem\Ntfs for device fffffa8004f5c030
Checking file objects for IRPs.
FileObject fffffa80068795e0 (handle 8bc):
IRP fffffa8006590cf0 - Owned by \Driver\DeviceApi for device DeviceApi (fffffa800363ae40)
...
FileObject fffffa8005bf59c0 (handle 900):
IRP fffffa8006659010 - Owned by \Driver\DeviceApi for device DeviceApi (fffffa800363ae40)