У вас есть утечка памяти, вызванная драйвером. Посмотрите на высокое значение памяти невыгружаемого ядра. В вашем случае это более 3,7 ГБ. Вы можете использовать poolmon, чтобы увидеть, какой драйвер вызывает высокую загрузку .
Установите Windows WDK , запустите poolmon, отсортируйте его по Pтипу пула, чтобы не выгружаемый был сверху, а Bпосле байтов - чтобы увидеть тег, который использует больше памяти. Запустите poolmon, перейдя в папку, где установлен WDK, перейдите в Инструменты (или C:\Program Files (x86)\Windows Kits\10\Tools\x64
) и нажмите poolmon.exe
.
Теперь посмотрите, какой тэг пула использует больше всего памяти, как показано здесь:
Теперь откройте командную строку и запустите команду findstr. Для этого откройте командную строку cmd и введите cd C:\Windows\System32\drivers
. Затем введите findstr /s __ *.*
, где __ - тег (самое левое имя в poolmon). Сделайте это, чтобы увидеть, какой драйвер использует этот тег:
Теперь перейдите в папку драйверов ( C:\Windows\System32\drivers
) и щелкните правой кнопкой мыши нужный драйвер (intmsd.sys в приведенном выше примере изображения). Нажмите Свойства, перейдите на вкладку сведений, чтобы найти название продукта. Ищите обновление для этого продукта.
Если тег пула показывает только драйверы Windows или указан в файле pooltag.txt ( "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\triage\pooltag.txt"
)
Вы должны использовать xperf, чтобы отследить, что вызывает использование . Установите WPT из Windows SDK , откройте cmd.exe от имени администратора и выполните следующее:
xperf -on PROC_THREAD + LOADER + POOL -stackwalk PoolAlloc + PoolFree + PoolAllocSession + PoolFreeSession -BufferSize 2048 -MaxFile 1024 -FileMode Circular && timeout -1 && xperf -d C: \ pool.etl
захватить 30 -60-х годов роста. Откройте ETL с помощью WPA.exe, добавьте графики пула на панель анализа.
Поместите столбец пула тегов на первое место и добавьте столбец стека. Теперь загрузите символы в WPA.exe и разверните стек тега, который вы видели в poolmon.
Теперь найдите другие сторонние драйверы, которые вы можете увидеть в стеке. Здесь Thre
тэг (Thread) используется AVKCl.exe из G-Data. Ищите обновления драйверов / программ, чтобы исправить это.
Пользователь Христо Христов предоставил трассировку с высокой FMfn
загрузкой при распаковке файлов:
Тег используется драйвером, WiseFs64.sys
который является частью программы «Wise Folder Hider». Удаление этого исправляет утечку.
Пользователь Samuil Dichev предоставил трассу с высокой FMic
и Irp
использованием
Теги используются программой Razor Cortex .
В образце пользователя chr0n0ssFMic
и Irp
использование вызвано F-Secure Antivirus Люкс:
Удаление и использование Защитника Windows устранило проблему для него.