Partilhar via

!irpfind

  • Artigo

A extensão !irpfind mostra informações sobre todos os pacotes de solicitação de E/S (IRP) atualmente alocados no sistema de destino ou sobre os IRPs que correspondem aos critérios de pesquisa especificados.

Sintaxe

!irpfind [-v][PoolType[RestartAddress[CriteriaData]]]

Parâmetros

-v
Exibe informações detalhadas.

Tipo de piscina
Especifica o tipo de pool a ser pesquisado. Os seguintes valores são permitidos:

0
Especifica o pool de memória não paginada. Esse é o padrão.

1
Especifica o pool de memória paginada.

2
Especifica o pool especial.

4
Especifica o pool de sessões.

Endereço de reinicialização
Especifica o endereço hexadecimal no qual a pesquisa vai começar. Isso é útil se a pesquisa anterior foi encerrada prematuramente. O padrão é zero.

Critérios
Especifica os critérios para a pesquisa. Serão exibidos somente os IRPs que satisfazem a correspondência dada.

Critérios Correspondência

arg

Localiza todos os IRPs com um local de pilha em que um dos argumentos é igual a Dados.

device

Localiza todos os IRPs com um local de pilha em que DeviceObject é igual a Data.

fileobject

Localiza todos os IRPs cujo Irp.Tail.Overlay.OriginalFileObject é igual a Data.

mdlprocess

Localiza todos os IRPs cujo Irp.MdlAddress.Process é igual a Data.

thread

Localiza todos os IRPs cujo Irp.Tail.Overlay.Thread é igual a Data.

userevent

Localiza todos os IRPs cujo Irp.UserEvent é igual a Data.

Dados
Especifica os dados que serão correspondidos na pesquisa.

DLL

Kdexts.dll

Informações Adicionais

Consulte Depuração Plug and Play para aplicativos deste comando de extensão. Para obter informações sobre IRPs, confira a documentação do Kit de Driver do Windows (WDK) e o livro Microsoft Windows Internals de Mark Russinovich e David Solomon.

Comentários

Este exemplo encontra o IRP no pool não paginado que definirá o FF9E4F48 de eventos do usuário após a conclusão:

kd> !irpfind 0 0 userevent ff9e4f48

O exemplo a seguir emite uma lista completa de todos os IRPs no pool não paginado:

kd> !irpfind
Searching NonPaged pool (8090c000 : 8131e000) for Tag: Irp
8097c008 Thread 8094d900 current stack belongs to  \Driver\symc810
8097dec8 Thread 8094dda0 current stack belongs to  \FileSystem\Ntfs
809861a8 Thread 8094dda0 current stack belongs to  \Driver\symc810
809864e8 Thread 80951ba0 current stack belongs to  \Driver\Mouclass
80986608 Thread 80951ba0 current stack belongs to  \Driver\Kbdclass
80986728 Thread 8094dda0 current stack belongs to  \Driver\symc810