!poolfind

  • 아티클

!poolfind 확장은 페이지가 지정되지 않은 메모리 풀 또는 페이징된 메모리 풀에서 특정 풀 태그의 모든 인스턴스를 찾습니다.

!poolfind TagString [PoolType] 
!poolfind TagValue [PoolType]

매개 변수

TagString
풀 태그를 지정합니다. TagString은 대/소문자를 구분하는 ASCII 문자열입니다. 별표(*)는 임의의 수의 문자를 나타내는 데 사용할 수 있습니다. 물음표(?)를 사용하여 정확히 한 문자를 나타낼 수 있습니다. 별표를 사용하지 않는 한 TagString 의 길이는 정확히 4자여야 합니다.

TagValue
풀 태그를 지정합니다. 기본 radix가 16인 경우에도 TagValue 는 "0x"로 시작해야 합니다. 이 매개 변수가 다른 값("0X"포함)으로 시작하는 경우 ASCII 태그 문자열로 해석됩니다.

PoolType
검색할 풀의 유형을 지정합니다. 허용되는 값은 다음과 같습니다.

0
페이지가 없는 메모리 풀을 지정합니다. 기본값입니다.

1
페이징된 메모리 풀을 지정합니다.

2
특수 풀을 지정합니다.

4
세션 풀을 지정합니다.

DLL

Kdexts.dll

추가 정보

메모리 풀 및 풀 태그에 대한 자세한 내용은 Mark Russinovich 및 David Solomon의 WDK(Windows 드라이버 키트) 설명서 및 Microsoft Windows Internals를 참조하세요.

설명

이 명령은 검색해야 하는 풀 메모리의 크기에 따라 실행하는 데 상당한 시간이 걸릴 수 있습니다. 이 실행 속도를 높이려면 Ctrl+A(전송 속도 설정/해제) 키를 사용하여 COM 포트 속도를 높이거나 .cache(캐시 크기 설정) 명령을 사용하여 캐시 크기를 약 10MB로 늘린다.

풀 태그는 ExAllocateXxx 루틴 제품군에 전달된 것과 동일한 태그입니다.

예를 들어 다음과 같습니다. 페이지가 지정되지 않은 풀 전체를 검색한 다음 페이징된 풀을 검색하지만 작업이 완료되기 전에 명령이 종료됩니다(작업 1시간 후).

kd> !poolfind SeSd 0

Scanning large pool allocation table for Tag: SeSd (827d1000 : 827e9000)

Searching NonPaged pool (823b1000 : 82800000) for Tag: SeSd

826fa130 size:   c0 previous size:   40  (Allocated) SeSd
82712000 size:   c0 previous size:    0  (Allocated) SeSd
82715940 size:   a0 previous size:   60  (Allocated) SeSd
8271da30 size:   c0 previous size:   10  (Allocated) SeSd
82721c00 size:   10 previous size:   30  (Free)      SeSd
8272b3f0 size:   60 previous size:   30  (Allocated) SeSd
8272d770 size:   60 previous size:   40  (Allocated) SeSd
8272d7d0 size:   a0 previous size:   60  (Allocated) SeSd
8272d960 size:   a0 previous size:   70  (Allocated) SeSd
82736f30 size:   a0 previous size:   10  (Allocated) SeSd
82763840 size:   a0 previous size:   10  (Allocated) SeSd
8278b730 size:  100 previous size:  290  (Allocated) SeSd
8278b830 size:   10 previous size:  100  (Free)      SeSd
82790130 size:   a0 previous size:   20  (Allocated) SeSd
82799180 size:   a0 previous size:   10  (Allocated) SeSd
827c00e0 size:   a0 previous size:   30  (Allocated) SeSd
827c8320 size:   a0 previous size:   60  (Allocated) SeSd
827ca180 size:   a0 previous size:   50  (Allocated) SeSd
827ec140 size:   a0 previous size:   10  (Allocated) SeSd

Searching NonPaged pool (fe7c3000 : ffbe0000) for Tag: SeSd

kd> !poolfind SeSd 1

Scanning large pool allocation table for Tag: SeSd (827d1000 : 827e9000)

Searching Paged pool (e1000000 : e4400000) for Tag: SeSd

e10000b0 size:   d0 previous size:   20  (Allocated) SeSd
e1000260 size:   d0 previous size:   60  (Allocated) SeSd
......
e1221dc0 size:   a0 previous size:   60  (Allocated) SeSd
e1224250 size:   a0 previous size:   30  (Allocated) SeSd

...terminating - searched pool to e1224000
kd>