Используя Poolmon.exe я увидел что-то действительно странное. Один из тегов использует 23 ГБ памяти, но мой компьютер имеет всего 16 ГБ памяти. Как это возможно? Из диспетчера задач видно, что использование невыгружаемого пула составляет 4,5 ГБ, что, безусловно, ненормально.
В основном используется тег Nbt8 (NetBT address list), который принадлежит драйверу Windows netbt.sys .
Чтобы отследить это, вы должны использовать Event Tracing для Windows. Загрузите этот профиль WPRP, откройте cmd.exe от имени администратора и выполните эту команду, чтобы отслеживать рост использования пула за 3 минуты:
wpr.exe -start "fullPath\PoolTagLeak_Nbt8.wprp" && timeout 500 && wpr.exe -stop result.etl
Установите сейчас Windows Performance Toolkit, часть Windows 10 SDK, откройте ETL с помощью WPA.exe, добавьте графики пула на панель анализа.
Поместите столбец pooltag на первое место и добавьте столбец stack. Теперь загрузите символы внутри WPA.exe и разверните стек тега, который вы видели в poolmon.
Теперь найдите другие сторонние драйверы, которые вы можете увидеть в стеке. Здесь Thre тег (Thread) используется AVKCl.exe из G-Data. Ищите обновления драйверов / программ, чтобы исправить это. Может быть, другие сторонние инструменты запускают использование netbt.sys.