Где найти теги для драйверов Лаборатории Касперского в невыгружаемом пуле памяти?

[Alexpo]

Здравствуйте.

Боремся с деградацией производительности на некоторых серверах организации. При этом фиксировался ненормально большой объем невыгружаемого пула. Утилитой poolmon.exe (poolmon.exe /b /p /g) картина показывается более детально, вот топовые "потребители" памяти:

Tag  Type     Allocs            Frees               Diff            Bytes                 Per Alloc       Mapped_Driver

ConT Nonp                4819               3757              1062       88395776            83235        Unknown Driver
klpp Nonp              242820             105951            136869       56937504              416        Unknown Driver
Thre Nonp            30085556           30070096             15460       33372160             2158        [nt!ps        - Thread objects]
BD0D Nonp              177323                  0            177323       28371680              160        Unknown Driver
File Nonp          1554233590         1554165273             68317       27312016              399        [<unknown>    - File objects]
EtwB Nonp               11571              10879               692       25915424            37450        [nt!etw       - Etw Buffer]
Nbuf Nonp           346091547          346077455             14092       25640944             1819        [netio.sys    - NetIO Memory Descriptor List allocations]
klic Nonp             4622653            4335058            287595       23007600               80        Unknown Driver
FMsc Nonp              261110             253053              8057       21786128             2704        [fltmgr.sys   -       SECTION_CONTEXT structure]
klPv Nonp              303202             166337            136865       20641744              150        Unknown Driver
klsr Nonp              606407             469540            136867       20409104              149        Unknown Driver

У Microsoft в допфайле pooltag.txt обозначено соответствие поля "Tag" полю "Mapped Driver". Но естественно только про свои драйвера, поэтому по тегам других вендоров имеем "Unknown Driver".

Есть ли у Лаборатории Касперского подобный файл или просто список соответствия тегов и драйверных структур в памяти ядра? Где его можно достать?

А то накладно проверять каждый неизвестный тег подобным образом:

Пробежавшись по всем *.sys файлам на диске C:, для тега DB0D находим это:
C:\>findstr.exe /S /M /L BD0D *.sys
Program Files (x86)\Kaspersky Lab\Kaspersky Security for Virtualization 5.1 Light Agent\klbackupdisk_x64\klbackupdisk.sys
Windows\System32\drivers\klbackupdisk.sys

Из вывода
sc.exe query type= all state= all
Получаем:

SERVICE_NAME: klbackupdisk
DISPLAY_NAME: Kaspersky Lab klbackupdisk
        TYPE               : 1  KERNEL_DRIVER
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0
        PID                : 0
        FLAGS              :
 
В реестре находим допинформацию:

C:\temp>reg.exe QUERY "HKLM\SYSTEM\CurrentControlSet\Services\klbackupdisk" /v ImagePath
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klbackupdisk
    ImagePath    REG_EXPAND_SZ    system32\DRIVERS\klbackupdisk.sys
 
 
C:\temp>reg.exe QUERY "HKLM\SYSTEM\CurrentControlSet\Services\klbackupdisk" /v Description
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klbackupdisk
    Description    REG_SZ    Kaspersky Lab volume filter