!irpfind

!irpfind 확장은 현재 대상 시스템에 할당된 모든 IRP(I/O 요청 패킷) 또는 지정된 검색 조건과 일치하는 IRP에 대한 정보를 표시합니다.

구문

!irpfind [-v][PoolType[RestartAddress[CriteriaData]]]

매개 변수

-v
자세한 정보를 표시합니다.

PoolType
검색할 풀의 유형을 지정합니다. 허용되는 값은 다음과 같습니다.

0
페이지가 없는 메모리 풀을 지정합니다. 기본값입니다.

1
페이징된 메모리 풀을 지정합니다.

2
특수 풀을 지정합니다.

4
세션 풀을 지정합니다.

RestartAddress
검색을 시작할 16진수 주소를 지정합니다. 이는 이전 검색이 조기에 종료된 경우에 유용합니다. 기본값은 0입니다.

기준
검색 조건을 지정합니다. 지정된 일치 항목을 만족하는 IRP만 표시됩니다.

조건	Match
arg	인수 중 하나가 Data와 같은 스택 위치가 있는 모든 IRP를 찾습니다.
device	DeviceObject가 Data와 같은 스택 위치가 있는 모든 IRP를 찾습니다.
fileobject	Irp.Tail.Overlay.OriginalFileObject가 Data와 같은 모든 IRP를 찾습니다.
mdlprocess	Irp.MdlAddress.Process가 Data와 같은 모든 IRP를 찾습니다.
thread	Irp.Tail.Overlay.Thread가 데이터와 같은 모든 IRP를 찾습니다.
userevent	Irp.UserEvent가 Data와 같은 모든 IRP를 찾습니다.

데이터
검색에서 일치시킬 데이터를 지정합니다.

DLL

Kdexts.dll

추가 정보

이 확장 명령의 애플리케이션에 대한 플러그 앤 플레이 디버깅을 참조하세요. IRP에 대한 자세한 내용은 WDK(Windows 드라이버 키트) 설명서 및 Mark Russinovich 및 David Solomon의 Microsoft Windows 내부 문서를 참조하세요.

설명

이 예제에서는 완료 시 사용자 이벤트 FF9E4F48 설정할 비페이지 풀에서 IRP를 찾습니다.

kd> !irpfind 0 0 userevent ff9e4f48

다음 예제에서는 페이지가 없는 풀에 있는 모든 IRP의 전체 목록을 생성합니다.

kd> !irpfind
Searching NonPaged pool (8090c000 : 8131e000) for Tag: Irp
8097c008 Thread 8094d900 current stack belongs to  \Driver\symc810
8097dec8 Thread 8094dda0 current stack belongs to  \FileSystem\Ntfs
809861a8 Thread 8094dda0 current stack belongs to  \Driver\symc810
809864e8 Thread 80951ba0 current stack belongs to  \Driver\Mouclass
80986608 Thread 80951ba0 current stack belongs to  \Driver\Kbdclass
80986728 Thread 8094dda0 current stack belongs to  \Driver\symc810