У вас есть утечка памяти, вызванная драйвером. Посмотрите на высокое значение памяти невыгружаемого ядра. В вашем случае это более 3,7 ГБ. Вы можете использовать poolmon, чтобы увидеть, какой драйвер вызывает высокую загрузку .
Установите Windows WDK, запустите poolmon, отсортируйте его через P после типа пула, чтобы не выгружаемый был сверху, и через B после байтов, чтобы увидеть тег, который использует больше всего памяти. Запустите poolmon, перейдя в папку, где установлен WDK, перейдите в Инструменты (или C:\Program Files (x86)\Windows Kits\10\Tools\x64) и нажмите poolmon.exe .
Теперь посмотрите, какой пул тегов использует больше всего памяти, как показано здесь:
Теперь откройте командную строку и запустите команду findstr. Для этого откройте командную строку cmd и введите cd C:\Windows\System32\drivers . Затем введите findstr /s __ *.* , Где __ - это тег (самое левое имя в poolmon).
Сделайте это, чтобы увидеть, какой драйвер использует этот тег:
Теперь перейдите в папку драйверов (C:\Windows\System32\drivers) и щелкните правой кнопкой мыши нужный драйвер (intmsd.sys в приведенном выше примере изображения). Нажмите Свойства, перейдите на вкладку сведений, чтобы найти название продукта. Ищите обновление для этого продукта.
Если тег пула показывает только драйверы Windows или указан в файле pooltag.txt ("C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\triage\pooltag.txt")
Вы должны использовать xperf, чтобы отследить, что вызывает использование. Установите WPT из Windows SDK, откройте cmd.exe от имени администратора и запустите:
xperf -on PROC_THREAD+LOADER+POOL -stackwalk PoolAlloc+PoolFree+PoolAllocSession+PoolFreeSession -BufferSize 2048 -MaxFile 1024 -FileMode Circular && timeout -1 && xperf -d C:\pool.etl
захватить 30 -60-х годов роста. Откройте ETL с помощью WPA.exe, добавьте графики пула на панель анализа.
Поместите столбец pooltag на первое место и добавьте столбец stack. Теперь загрузите символы внутри WPA.exe и разверните стек тега, который вы видели в poolmon.
Теперь найдите другие сторонние драйверы, которые вы можете увидеть в стеке. Здесь Thre тег (Thread) используется AVKCl.exe из G-Data. Ищите обновления драйверов / программ, чтобы исправить это.
Пользователь Христо Христов предоставил трассировку с высоким использованием FMfn во время распаковки файлов:
Этот тег используется драйвером WiseFs64.sys который является частью программы "Wise Folder Hider". Удаление этого исправляет утечку.
Пользователь Samuil Dichev предоставил трассировку с высоким использованием FMic и Irp
Теги используются программой Razor Cortex.
В примере пользователя chr0n0ss использование FMic и Irp вызвано F-Secure Antivirus Suite:
Удаление его и использование Защитника Windows устранило проблему для него.
