Freigeben über


!irpfind

Die Erweiterung !irpfind zeigt Informationen über alle I/O-Anforderungspakete (IRP) an, die derzeit im Zielsystem zugewiesen sind bzw. über diejenigen IRPs, die den angegebenen Suchkriterien entsprechen.

Syntax

!irpfind [-v][PoolType[RestartAddress[CriteriaData]]]

Parameter

-v
Zeigt ausführliche Informationen an.

PoolType
Gibt den Typ des zu durchsuchenden Pools an. Die folgenden Werte sind zulässig:

0
Gibt den nicht ausgelagerten Speicherpool an. Dies ist die Standardeinstellung.

1
Gibt den ausgelagerten Speicherpool an.

2
Gibt den speziellen Pool an.

4
Gibt den Sitzungspool an.

RestartAddress
Gibt die hexadezimale Adresse an, bei der die Suche beginnen soll. Dies ist nützlich, wenn die vorherige Suche vorzeitig abgebrochen wurde. Der Standardwert ist 0.

Kriterien
Gibt die Kriterien für die Suche an. Es werden nur die IRPs angezeigt, die die angegebene Übereinstimmung erfüllen.

Kriterien Übereinstimmen

arg

Findet alle IRPs mit einer Stackposition, bei der eines der Argumente gleich Data ist.

Dvice

Findet alle IRPs mit einer Stack-Position, bei der DeviceObject gleich Data ist.

fileobject

Findet alle IRPs, deren Irp.Tail.Overlay.OriginalFileObject gleich Data ist.

mdlprocess

Findet alle IRPs, deren Irp.MdlAddress.Process gleich Data ist.

Thread

Findet alle IRPs, deren Irp.Tail.Overlay.Thread gleich Data ist.

userevent

Findet alle IRPs, deren Irp.UserEvent gleich Data ist.

Daten
Gibt die Daten an, die bei der Suche abgeglichen werden sollen.

DLL

Kdexts.dll

Zusätzliche Informationen

Siehe Plug and Play Debugging für Anwendungen dieses Erweiterungsbefehls. Informationen über IRPs finden Sie in der Windows Driver Kit (WDK) Dokumentation und unter Microsoft Windows Internals von Mark Russinovich und David Solomon.

Hinweise

In diesem Beispiel wird der IRP im nicht ausgelagerten Pool gefunden, der nach Beendigung das Benutzerereignis FF9E4F48 setzen wird:

kd> !irpfind 0 0 userevent ff9e4f48

Das folgende Beispiel erzeugt eine vollständige Auflistung aller IRPs im nicht ausgelagerten Pool:

kd> !irpfind
Searching NonPaged pool (8090c000 : 8131e000) for Tag: Irp
8097c008 Thread 8094d900 current stack belongs to  \Driver\symc810
8097dec8 Thread 8094dda0 current stack belongs to  \FileSystem\Ntfs
809861a8 Thread 8094dda0 current stack belongs to  \Driver\symc810
809864e8 Thread 80951ba0 current stack belongs to  \Driver\Mouclass
80986608 Thread 80951ba0 current stack belongs to  \Driver\Kbdclass
80986728 Thread 8094dda0 current stack belongs to  \Driver\symc810