none
GetDeviceInterfaces Has MemoryLeak RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Every call to NtSetSystemEnvironmentValueEx, NtQuerySystemEnvironmentValueEx or NtEnumerateSystemEnvironmentValuesEx will leak 32 bytes of memory in 'Pp ' paged pool


    info:

    https://github.com/SamuelTulach/GetDeviceInterfacesMemoryLeak

    2020年11月10日 10:43
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    I suggest you to try using following breakpoint command to find out "Pp" tag request.

    bp nt!ExAllocatePoolWithTag ".echo --------------------------; kvn; r; .echo <Tag>; r r8d; g"

    For example, following log indicates "fpwi" tag request .

    --------------------------
 # Child-SP          RetAddr           : Args to Child                                                           : Call Site
00 ffffa201`49b079e8 fffff806`49c07245 : 00000000`00000400 ffffa201`49b07a68 00000000`00000000 ffffe781`00000000 : nt!ExAllocatePoolWithTag
01 ffffa201`49b079f0 fffff806`49c07c4e : 00000000`00000000 ffffd283`a5010540 ffffd283`a649b240 ffffe781`1a23a000 : Wof!FileProvReadCompressedOnNewStackExtendedCompletion+0x125
02 ffffa201`49b07ab0 fffff806`490f8851 : 00000000`00000000 ffff8901`30aba8a0 ffff8901`3830f010 00000000`00000000 : Wof!FileProvReadCompressedCompletionWorker+0x16e
03 ffffa201`49b07ae0 fffff806`46083aa5 : ffff8901`3009cc30 ffff8901`300da080 fffff806`490f87a0 ffff8901`3009cc30 : FLTMGR!FltpProcessGenericWorkItem+0xb1
04 ffffa201`49b07b70 fffff806`4611e235 : ffff8901`300da080 00000000`00000080 ffff8901`30096300 00000000`00000000 : nt!ExpWorkerThread+0x105
05 ffffa201`49b07c10 fffff806`461ca1d8 : ffffe781`17c60180 ffff8901`300da080 fffff806`4611e1e0 00000000`00000000 : nt!PspSystemThreadStartup+0x55
06 ffffa201`49b07c60 00000000`00000000 : ffffa201`49b08000 ffffa201`49b02000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x28
rax=fffff8064636e010 rbx=0000000000000400 rcx=0000000000000200
rdx=0000000000000060 rsi=0000000000000000 rdi=ffff890130f379c0
rip=fffff8064636e010 rsp=ffffa20149b079e8 rbp=ffffa20149b07a68
 r8=0000000069777066  r9=000000000000002f r10=fffff80649c14a00
r11=ffffa20149b07990 r12=00000000000d9000 r13=fffff80649c14800
r14=fffff80649c14a00 r15=0000000000001c00
iopl=0         nv up ei pl nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00040206
nt!ExAllocatePoolWithTag:
fffff806`4636e010 48895c2408      mov     qword ptr [rsp+8],rbx ss:0018:ffffa201`49b079f0=0000000000000400
<Tag>
r8d=69777066

    r8d=69777066

    0x66 : 'f'
    0x70 : 'p'
    0x77 : 'w'
    0x69 : 'i'
    ====> Pool Tag : "fpwi"

    ---------------------------
    PoolMonX/res/pooltag.txt
    https://github.com/zodiacon/PoolMonX/blob/master/res/pooltag.txt

    fpwi - wof.sys      - Compressed file work item
    ---------------------------



    • 編集済み お馬鹿 2020年11月11日 13:26
    2020年11月11日 9:11
    |
  • Question
    サインインして投票
    0
    サインインして投票
    kenbunさん、こんにちは。フォーラムオペレーターのKumoです。 
    MSDNフォーラムにご投稿くださいましてありがとうございます。

    ご質問いただいた件ですが、その後いかがでしょうか。
    お馬鹿さんから寄せられた投稿はお役に立ちましたか。

    参考になった投稿には [回答としてマーク] をお願い致します。

    設定いただくことで、
    他のユーザーもお役に立つ回答を見つけやすくなります。

    お手数ですが、ご協力の程どうかよろしくお願いいたします。

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2020年11月13日 1:36
    |
    モデレータ