PoolMon を用いて、多くのプールを使用しているドライバーを調査
PoolMon を用いて、多くのプールを使用しているドライバーを調査する方法を紹介します。
PoolMon のインストール (Windows Server 2022 で試しています)
PoolMon は WDK (Windows driver Kit) に含まれています。WDK は Microsoft のサイトからダウンロードできます。
インストールもダウンロードした wdksetup.exe を実行いウィザードに従うだけです。
多くのプールを使用しているドライバーを調査
1. 管理者権限のコマンドプロンプトを起動します。
2.「C:\Program Files (x86)\Windows Kits\10\Tools\x64」に移動します。
3. poolmon を実行します。
4. b を押すと、バイト数でソートされます。
5. Tag の列のタグ確認します。
6. q を押すと、PoolMon を終了します。
6. 上記 5 で確認したタグを使用しているドライバーを探すため以下のコマンドを実行します。
これは C:\Windows\System32\drivers\ 配下の sys ファイルから、タグの文字列を含むファイル名を探すためのコマンドです。
結果、タグを使用しているドライバーがわかります。
例えば、2 番目に多くプールを使用していたタグ Ntff は、ntfs.sys で使われていたことがわかります。
補足
まれに C:\Windows\System32\drivers\*.sys からは見つからないこともあります。例えば、1 番プールを使用していたタグ MmSt は c:\Windows\System32\* から見つかります。
情報元
PoolMon の例
An Introduction to Pool Tags
<<Web サイトをブラウザで編集:document.designMode = 'on' | ホーム | Google Admin Toolbox を使用してインターネットで dig を実施>>
PoolMon のインストール (Windows Server 2022 で試しています)
PoolMon は WDK (Windows driver Kit) に含まれています。WDK は Microsoft のサイトからダウンロードできます。
インストールもダウンロードした wdksetup.exe を実行いウィザードに従うだけです。
多くのプールを使用しているドライバーを調査
1. 管理者権限のコマンドプロンプトを起動します。
2.「C:\Program Files (x86)\Windows Kits\10\Tools\x64」に移動します。
3. poolmon を実行します。
4. b を押すと、バイト数でソートされます。
5. Tag の列のタグ確認します。
6. q を押すと、PoolMon を終了します。
6. 上記 5 で確認したタグを使用しているドライバーを探すため以下のコマンドを実行します。
| findstr /m /l <タグ> C:\Windows\System32\drivers\*.sys |
これは C:\Windows\System32\drivers\ 配下の sys ファイルから、タグの文字列を含むファイル名を探すためのコマンドです。
結果、タグを使用しているドライバーがわかります。
例えば、2 番目に多くプールを使用していたタグ Ntff は、ntfs.sys で使われていたことがわかります。
補足
まれに C:\Windows\System32\drivers\*.sys からは見つからないこともあります。例えば、1 番プールを使用していたタグ MmSt は c:\Windows\System32\* から見つかります。
情報元
PoolMon の例
An Introduction to Pool Tags