！poolfind

！poolfind 擴充功能會尋找非分頁或分頁記憶體集區中特定集區卷標的所有實例。

!poolfind TagString [PoolType] 
!poolfind TagValue [PoolType] 

參數

TagString
指定集區標記。 TagString 是區分大小寫的 ASCII 字串。 星號 \ 可用來代表任意數目的字元;問號 （？） 可以用來只代表一個字元。 除非使用星號， 否則TagString 長度必須只有四個字元。

TagValue
指定集區標記。 TagValue 必須以 「0x」 開頭，即使預設的基數為 16 也一樣。 如果此參數以任何其他值開頭（包括 “0X”），則會解譯為 ASCII 標記字串。

PoolType
指定要搜尋的集區類型。 允許下列值：

0
指定非分頁記憶體集區。 這是預設值。

1
指定分頁記憶體集區。

2
指定特殊集區。

4
指定工作階段集區。

DLL

Kdexts.dll

其他資訊

如需記憶體集區和集區卷標的相關信息，請參閱 Windows 驅動程式套件 （WDK） 檔和 Microsoft Windows 內部，由 Mark Russinovich 和 David 所羅門撰寫。

備註

此命令可能需要大量時間才能執行，視必須搜尋的集區內存大小而定。 若要加快執行速度，請使用 CTRL+A（切換包接速率）鍵來增加 COM 埠速度，或使用 .cache （設定快取大小） 命令來增加快取大小 （約 10 MB）。

集區標籤是傳遞至 ExAllocateXxx 系列例程的相同標記。

以下是範例。 系統會搜尋整個非分頁集區，然後搜尋分頁集區，但命令會在完成前終止（作業后一小時）：

kd> !poolfind SeSd 0

Scanning large pool allocation table for Tag: SeSd (827d1000 : 827e9000)

Searching NonPaged pool (823b1000 : 82800000) for Tag: SeSd

826fa130 size:   c0 previous size:   40  (Allocated) SeSd
82712000 size:   c0 previous size:    0  (Allocated) SeSd
82715940 size:   a0 previous size:   60  (Allocated) SeSd
8271da30 size:   c0 previous size:   10  (Allocated) SeSd
82721c00 size:   10 previous size:   30  (Free)      SeSd
8272b3f0 size:   60 previous size:   30  (Allocated) SeSd
8272d770 size:   60 previous size:   40  (Allocated) SeSd
8272d7d0 size:   a0 previous size:   60  (Allocated) SeSd
8272d960 size:   a0 previous size:   70  (Allocated) SeSd
82736f30 size:   a0 previous size:   10  (Allocated) SeSd
82763840 size:   a0 previous size:   10  (Allocated) SeSd
8278b730 size:  100 previous size:  290  (Allocated) SeSd
8278b830 size:   10 previous size:  100  (Free)      SeSd
82790130 size:   a0 previous size:   20  (Allocated) SeSd
82799180 size:   a0 previous size:   10  (Allocated) SeSd
827c00e0 size:   a0 previous size:   30  (Allocated) SeSd
827c8320 size:   a0 previous size:   60  (Allocated) SeSd
827ca180 size:   a0 previous size:   50  (Allocated) SeSd
827ec140 size:   a0 previous size:   10  (Allocated) SeSd

Searching NonPaged pool (fe7c3000 : ffbe0000) for Tag: SeSd

kd> !poolfind SeSd 1

Scanning large pool allocation table for Tag: SeSd (827d1000 : 827e9000)

Searching Paged pool (e1000000 : e4400000) for Tag: SeSd

e10000b0 size:   d0 previous size:   20  (Allocated) SeSd
e1000260 size:   d0 previous size:   60  (Allocated) SeSd
......
e1221dc0 size:   a0 previous size:   60  (Allocated) SeSd
e1224250 size:   a0 previous size:   30  (Allocated) SeSd

...terminating - searched pool to e1224000
kd>