!irpfind
!irpfind 擴充功能會顯示目前在目標系統中配置的所有 I/O 要求封包(IRP),或有關符合指定搜尋準則的 IRP 的相關信息。
語法
!irpfind [-v][PoolType[RestartAddress[CriteriaData]]]
參數
-v
顯示詳細資訊資訊。
PoolType
指定要搜尋的集區類型。 允許下列值:
0
指定非分頁記憶體集區。 這是預設值。
1
指定分頁記憶體集區。
2
指定特殊集區。
4
指定工作階段集區。
RestartAddress
指定要開始搜尋的十六進位位址。 如果先前的搜尋過早終止,這會很有用。 預設值為 0。
標準
指定搜尋的準則。 只會顯示滿足指定相符專案之 IRP。
| 準則 | 比對 |
|---|---|
arg |
尋找堆疊位置的所有 IRP,其中其中一個自變數等於 Data。 |
裝置 |
尋找具有 DeviceObject 等於數據之堆疊位置的所有 IRP。 |
fileobject |
尋找 Irp.Tail.Overlay.OriginalFileObject 等於數據的所有 IRP。 |
mdlprocess |
尋找 Irp.MdlAddress.Process 等於數據的所有 IRP。 |
執行緒 |
尋找 Irp.Tail.Overlay.Thread 等於數據的所有 IRP。 |
userevent |
尋找 Irp.UserEvent 等於數據的所有 IRP。 |
數據
指定要在搜尋中比對的數據。
DLL
Kdexts.dll
其他資訊
如需此擴充功能命令的應用程式,請參閱 隨插即用 偵錯。 如需 IRP 的相關信息,請參閱 Windows 驅動程式套件 (WDK) 檔和 Microsoft Mark Russinovich 和 David 所羅門的 Windows 內部 。
備註
此範例會在完成時,在非分頁集區中尋找要設定使用者事件FF9E4F48的 IRP:
kd> !irpfind 0 0 userevent ff9e4f48
下列範例會產生非分頁集區中所有 IRP 的完整清單:
kd> !irpfind
Searching NonPaged pool (8090c000 : 8131e000) for Tag: Irp
8097c008 Thread 8094d900 current stack belongs to \Driver\symc810
8097dec8 Thread 8094dda0 current stack belongs to \FileSystem\Ntfs
809861a8 Thread 8094dda0 current stack belongs to \Driver\symc810
809864e8 Thread 80951ba0 current stack belongs to \Driver\Mouclass
80986608 Thread 80951ba0 current stack belongs to \Driver\Kbdclass
80986728 Thread 8094dda0 current stack belongs to \Driver\symc810