Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ekstensi !irpfind menampilkan informasi tentang semua paket permintaan I/O (IRP) yang saat ini dialokasikan dalam sistem target, atau tentang RUN yang cocok dengan kriteria pencarian yang ditentukan.
Sintaks
!irpfind [-v][PoolType[RestartAddress[CriteriaData]]]
Parameter
-v
Menampilkan informasi verbose.
PoolType
Menentukan jenis kumpulan yang akan dicari. Nilai berikut diizinkan:
0
Menentukan kumpulan memori yang tidak ditugaskan. Ini adalah default.
1
Menentukan kumpulan memori halaman.
2
Menentukan kumpulan khusus.
4
Menentukan kumpulan sesi.
Mulai ulangAddress
Menentukan alamat heksadesimal untuk memulai pencarian. Ini berguna jika pencarian sebelumnya dihentikan sebelum waktunya. Defaultnya adalah nol.
Kriteria
Menentukan kriteria untuk pencarian. Hanya IRP yang memenuhi kecocokan yang diberikan yang akan ditampilkan.
| Kriteria | Cocokkan |
|---|---|
Arg |
Menemukan semua IRP dengan lokasi tumpukan di mana salah satu argumen sama dengan Data. |
alat |
Menemukan semua IRP dengan lokasi tumpukan tempat DeviceObject sama dengan Data. |
fileobject |
Menemukan semua IRP yang Irp.Tail.Overlay.OriginalFileObject-nya sama dengan Data. |
mdlprocess |
Menemukan semua IRP yang Irp.MdlAddress.Process-nya sama dengan Data. |
benang |
Menemukan semua IRP yang Irp.Tail.Overlay.Thread-nya sama dengan Data. |
userevent |
Menemukan semua IRP yang Irp.UserEvent-nya sama dengan Data. |
Data
Menentukan data yang akan dicocokkan dalam pencarian.
DLL
Kdexts.dll
Informasi Tambahan
Lihat Debugging Plug and Play untuk aplikasi perintah ekstensi ini. Untuk informasi tentang IRP, lihat dokumentasi Windows Driver Kit (WDK) dan Microsoft Windows Internals oleh Mark Russinovich dan David Solomon.
Keterangan
Contoh ini menemukan IRP di kumpulan yang tidak disebarkan yang akan mengatur peristiwa pengguna FF9E4F48 setelah selesai:
kd> !irpfind 0 0 userevent ff9e4f48
Contoh berikut menghasilkan daftar lengkap semua RUN di kumpulan yang tidak dipagasi:
kd> !irpfind
Searching NonPaged pool (8090c000 : 8131e000) for Tag: Irp
8097c008 Thread 8094d900 current stack belongs to \Driver\symc810
8097dec8 Thread 8094dda0 current stack belongs to \FileSystem\Ntfs
809861a8 Thread 8094dda0 current stack belongs to \Driver\symc810
809864e8 Thread 80951ba0 current stack belongs to \Driver\Mouclass
80986608 Thread 80951ba0 current stack belongs to \Driver\Kbdclass
80986728 Thread 8094dda0 current stack belongs to \Driver\symc810