!irpfind
Расширение !irpfind отображает сведения обо всех пакетах запросов ввода-вывода (IRP), выделенных в целевой системе, или об этих irPs, соответствующих указанным критериям поиска.
Синтаксис
!irpfind [-v][PoolType[RestartAddress[CriteriaData]]]
Параметры
-v
Отображает подробные сведения.
PoolType
Указывает тип пула для поиска. Разрешены следующие значения:
0
Указывает непагаченный пул памяти. Это значение по умолчанию.
1
Указывает пул памяти с страницами.
2
Указывает специальный пул.
4
Указывает пул сеансов.
ПерезапускAddress
Указывает шестнадцатеричный адрес, с которого начинается поиск. Это полезно, если предыдущий поиск был завершен преждевременно. По умолчанию используется значение 0.
Критерии
Задает критерии для поиска. Будут отображаться только те irPs, которые удовлетворяют заданному совпадению.
| Критерии | Поиск совпадений (Match) |
|---|---|
arg |
Находит все irPs с расположением стека, где один из аргументов равен данным. |
device |
Находит все irPs с расположением стека, где DeviceObject равен данным. |
fileobject |
Находит все irPs, Irp.Tail.Overlay.OriginalFileObject равно Data. |
mdlprocess |
Находит все IRP, Irp.MdlAddress.Process равно данным. |
thread |
Находит все IRP, Irp.Tail.Overlay.Thread равно данным. |
userevent |
Находит все IRP, Irp.UserEvent которых равно данным. |
Данные
Указывает данные, которые должны быть сопоставлены в поиске.
DLL-библиотеки
Kdexts.dll
Дополнительная информация
См. самонастраивающийся отладку приложений этой команды расширения. Дополнительные сведения об IRP см. в документации по комплекту драйверов Windows (WDK) и внутренних элементах Microsoft Windows Марком Руссиновичем и Дэвидом Соломоном.
Замечания
Этот пример находит IRP в непагованном пуле, который собирается задать событие пользователя FF9E4F48 после завершения:
kd> !irpfind 0 0 userevent ff9e4f48
В следующем примере создается полный список всех IRP в непакованном пуле:
kd> !irpfind
Searching NonPaged pool (8090c000 : 8131e000) for Tag: Irp
8097c008 Thread 8094d900 current stack belongs to \Driver\symc810
8097dec8 Thread 8094dda0 current stack belongs to \FileSystem\Ntfs
809861a8 Thread 8094dda0 current stack belongs to \Driver\symc810
809864e8 Thread 80951ba0 current stack belongs to \Driver\Mouclass
80986608 Thread 80951ba0 current stack belongs to \Driver\Kbdclass
80986728 Thread 8094dda0 current stack belongs to \Driver\symc810
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по