Исследование утечки памяти в Windows 10 (xperf / WPA) с процессом «Неизвестно»

514
chr0n0ss

Я сталкиваюсь с проблемой утечки памяти в Windows 10. У меня есть 4 ГБ физической памяти, которая в основном занята «невыгружаемым пулом» согласно RamMap, который, к сожалению, нельзя отнести ни к какому отдельному процессу. Как правило, процессы в диспетчере задач не сводятся к использованию ресурсов такого масштаба (самые большие процессы имеют двухзначную личную память МБ). И это ухудшается с ростом времени работы. Увы, этот компьютер работает в промышленной среде и обычно должен работать непрерывно. В настоящее время он блокируется каждые несколько недель и должен быть сброшен вручную.

Согласно подробному ответу magicandre1981 на этот вопрос, я определил теги FMic и Irp как основных нарушителей, использующих poolmon ( см. Изображение ).

После использования xperf для записи нескольких минут данных в Windows Performance Analyzer наибольшее использование памяти под этими тегами происходит на уровне стека "n / a" для процесса "Unknown" ( см. Изображение ).

Выделение памяти под обоими тегами состоит из кусков по 1 КБ или меньше, примерно по 600 каждый ( FMic, подробности Irp ).

Я думаю, что это неоспоримо, что есть утечка памяти в этой системе. Что еще я мог попытаться изолировать, нарушая процесс или драйвер?

Спасибо и всего наилучшего

Бьерн

РЕДАКТИРОВАТЬ 2018-07-11: захватил следующее с помощью WPA.

Самый высокий уровень показывает 350 МБ, потраченных одним путем

Расширение приводит к двум преступникам на 100 МБ

Расширение первого показывает много небольших выделений

Если детали не достаточно глубоки, я могу предоставить ETL после небольшой работы по настройке (ссылка на скачивание двух дней).

Кажется, что нарушающие процессы происходят из "F-Secure Client Security" (утечка памяти?). Могу ли я сделать что-нибудь еще, кроме жалоб F-Secure?

РЕДАКТИРОВАТЬ 2018-07-16: После удаления F-Secure (теперь с помощью Защитника Windows) несколько дней назад пул невыгружаемого хранилища стабилен на уровне около 200 МБ. Кажется, проблема решена.

1
разверните запись стека [Root] для тега. Н / д роста средств не происходило во время захвата, поэтому нет стека. magicandre1981 5 лет назад 0
К сожалению, записи [Root] достаточно малы. Так что, если я правильно понял, мне просто нужно больше времени, чтобы получить значимые записи под root? Спасибо, я попробую это. chr0n0ss 5 лет назад 0
[скачать этот файл WPRP] (https://www.dropbox.com/s/886sft1bgc1re34/PoolTagLeak_FMic_IRP.wprp?dl=0) выполнить ** wpr -start C: \ PoolTagLeak_FMic_IRP.wprp **. перехватите 5-6 минут и запустите ** wpr.exe -stop C: \ pool.etl **. Это захватывает только стеки из 2 тегов, поэтому файл меньше и вы можете запустить его дольше. magicandre1981 5 лет назад 0
Большое спасибо за профиль. Несколько минут захвата меня не особо просветили, сейчас я пытаюсь сделать это дольше. Похоже, что из RamMap объем невыгружаемого пула увеличивается между 50 ... 100 МБ в час; Я предполагаю, что более длинный снимок может дать более четкую картину. chr0n0ss 5 лет назад 0
Захват 50 минут не показывает явного «нарушителя»; пытаясь захватить дольше. chr0n0ss 5 лет назад 0
это должно включать достаточно данных. показать картинку или поделиться (в архиве) ETL. magicandre1981 5 лет назад 0
Спасибо за терпение со мной. Захват выполнялся около двух дней, но файл ETL, похоже, содержит меньше. Добавление изображений к вопросу. chr0n0ss 5 лет назад 0
хорошо, вы нашли причину. Это F-Secure Management Agent dll. Поэтому обновите F-Secure и, если это не поможет, удалите его. если проблема исчезла, сообщите о ней в службу поддержки и попробуйте другой антивирусный пакет от 3-й стороны, если вам недостаточно Защитника. magicandre1981 5 лет назад 0
Отлично, еще раз спасибо за помощь! F-Secure - это политика компании. Я соберу внутренний билет и попрошу его переслать его в F-Secure. Я сообщу, если услышу новости. chr0n0ss 5 лет назад 0
Другие устройства в вашей компании страдают той же проблемой, если все используют F-Secure? magicandre1981 5 лет назад 0
ИТ-специалисты не были полностью уверены в вероятности успеха, если будут жаловаться в F-Secure. Дело в том, что этот ПК используется в качестве «моста» между локальной сетью, подключенной к Интернету, и локальной сетью производственного предприятия. Единственное, что он на самом деле делает - это запускает VNC - примерно для десяти пользователей. Большинство из них остаются в системе при закрытии сеанса, поэтому обычно можно увидеть несколько параллельно работающих клиентов F-Secure, но только один сервис. Может быть, служба не справится с этим. Поскольку ни один пользователь не имеет физического доступа, ИТ-отдел решил удалить F-Secure и использовать Защитник Windows. Спасибо еще раз за помощь! :) chr0n0ss 5 лет назад 0
Кстати, чтобы ответить на ваш вопрос: нет, такого рода проблемы не было ни на одном другом устройстве. Но большинство устройств все еще используют Windows 7. Это первое устройство с Windows 10, которое я лично видел. ОНО, похоже, тоже не знает проблемы. chr0n0ss 5 лет назад 0
Хорошо, швы, чтобы быть проблемой со специальным назначением устройства. Я пометил тему как дубликат и добавил ваш случай в тему, чтобы другие пользователи увидели решение проще. magicandre1981 5 лет назад 0

0 ответов на вопрос

Похожие вопросы