Alexpo

Members

View Profile See their activity

Posts
1
Joined
May 13, 2022
Last visited
June 6, 2022

Reputation

0 Neutral

Где найти теги для драйверов Лаборатории Касперского в невыгружаемом пуле памяти?

Alexpo posted a topic in Kaspersky Endpoint Security для бизнеса

Здравствуйте. Боремся с деградацией производительности на некоторых серверах организации. При этом фиксировался ненормально большой объем невыгружаемого пула. Утилитой poolmon.exe (poolmon.exe /b /p /g) картина показывается более детально, вот топовые "потребители" памяти: Tag Type Allocs Frees Diff Bytes Per Alloc Mapped_Driver ConT Nonp 4819 3757 1062 88395776 83235 Unknown Driver klpp Nonp 242820 105951 136869 56937504 416 Unknown Driver Thre Nonp 30085556 30070096 15460 33372160 2158 [nt!ps - Thread objects] BD0D Nonp 177323 0 177323 28371680 160 Unknown Driver File Nonp 1554233590 1554165273 68317 27312016 399 [<unknown> - File objects] EtwB Nonp 11571 10879 692 25915424 37450 [nt!etw - Etw Buffer] Nbuf Nonp 346091547 346077455 14092 25640944 1819 [netio.sys - NetIO Memory Descriptor List allocations] klic Nonp 4622653 4335058 287595 23007600 80 Unknown Driver FMsc Nonp 261110 253053 8057 21786128 2704 [fltmgr.sys - SECTION_CONTEXT structure] klPv Nonp 303202 166337 136865 20641744 150 Unknown Driver klsr Nonp 606407 469540 136867 20409104 149 Unknown Driver У Microsoft в допфайле pooltag.txt обозначено соответствие поля "Tag" полю "Mapped Driver". Но естественно только про свои драйвера, поэтому по тегам других вендоров имеем "Unknown Driver". Есть ли у Лаборатории Касперского подобный файл или просто список соответствия тегов и драйверных структур в памяти ядра? Где его можно достать? А то накладно проверять каждый неизвестный тег подобным образом: Пробежавшись по всем *.sys файлам на диске C:, для тега DB0D находим это: C:\>findstr.exe /S /M /L BD0D *.sys Program Files (x86)\Kaspersky Lab\Kaspersky Security for Virtualization 5.1 Light Agent\klbackupdisk_x64\klbackupdisk.sys Windows\System32\drivers\klbackupdisk.sys Из вывода sc.exe query type= all state= all Получаем: SERVICE_NAME: klbackupdisk DISPLAY_NAME: Kaspersky Lab klbackupdisk TYPE : 1 KERNEL_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 PID : 0 FLAGS : В реестре находим допинформацию: C:\temp>reg.exe QUERY "HKLM\SYSTEM\CurrentControlSet\Services\klbackupdisk" /v ImagePath HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klbackupdisk ImagePath REG_EXPAND_SZ system32\DRIVERS\klbackupdisk.sys C:\temp>reg.exe QUERY "HKLM\SYSTEM\CurrentControlSet\Services\klbackupdisk" /v Description HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klbackupdisk Description REG_SZ Kaspersky Lab volume filter
- May 13, 2022

Alexpo

Posts

Joined

Last visited

Reputation

Где найти теги для драйверов Лаборатории Касперского в невыгружаемом пуле памяти?

Forum

Products

Support

Personal Account