1. Pooltag.txt
rem
rem Pooltag.txt
rem
rem This file lists the tags used for pool allocations by kernel mode components
rem and drivers.
rem
rem The file has the following format:
rem <PoolTag> - <binary-name> - <Description>
rem
rem Pooltag.txt is installed with Debugging Tools for Windows (in %windbg%\triage)
rem and with the Windows DDK (in %winddk%\tools\other\platform\poolmon, where
rem platform is amd64, i386, or ia64).
rem
AdSv - vmsrvc.sys - Virtual Machines Additions Service
ARPC - atmarpc.sys - ATM ARP Client
ATMU - atmuni.sys - ATM UNI Call Manager
Atom - <unknown> - Atom Tables
위의 내용은 C:\Program Files\Debugging Tools for Windows (x86)\triage 에 위치한 pooltag.txt에 있는 내용이다.
해당 파일에는 각 Pooltag , 파일명, 설명이 잘 나와있다.
혹시나 특정 파일 오류가 발견되는 경우 해당 파일을 참조하면되며 해당 파일은 Windbg를 설치하면 그곳에 나와있다.
2. msinfo32.exe
[그림 1] msinfo32
해당 툴 실행 후
시스템 요약 ->소프트웨어 환경의 각 내용을 선택하면 위와 같이 각각의 내용에 대해 확인할 수 있다.
이 내용은 Pooltag.txt의 내용과 동일하며 그룹별로 확인할 수 있으므로 필요시 찾아보면 된다.
3. Verifier
해당 툴은 해당 컴에 깔려있는 드라이버 중 MS에서 인증받지 못한 Driver들의 목록이 나와있다.
해당 드라이버들은 인증되지 않은 드라이브이기 때문에 MS에서도 해당 드라이브 정상 유무에 대해 검증해주지 않으므로 이슈가 있는 서버의 경우 확인하는 것이 좋다.
시작 -> 실행 -> verifier
[그림 2] verifier 처음 실행 화면
[그림 3] verifier Standard 실행 시
[그림 4] unsigned 드라이버 목록
위와 같이 간단하게 확인할 수 있으므로 이슈 서버에 대해 확인할 때 참고하면 좋은 툴인거 같다.
4. gflags.exe, poolmon.exe
poolmon.exe는 현재 메모리 풀에서 사용하는 리스트를 확인할 수 있다.
해당 툴을 사용하기 위해서는 gflags.exe에 enable pool tags 항목을 체크한 후 리부팅을 해야한다.
[그림 5] gflags.exe
pool tagging은 pooltags.txt에 나와있던 pool tag랑 같은 의미이다.
해당 체크박스에 체크를 하면 각각의 pool tag별 값들을 가져오기 때문에 해당 체크를 적용해야하는 것이다.
[그림 6] poolmon
poolmon은 각각의 pooltag에 얼마의 값들이 할당되어있는지를 알 수 있다.
nonpage, page별로 구분이 되어 있으며 확인방법은 다음과 같다.
ACPI Nonp 15 ( 0) 15 ( 0) 0 0 ( 0) 0
맨앞의 ACPI항목은 Pool-tag이므로 위에서 설명힌 pooltags.txt에서 해당 내용을 찾아보면
ACPI - acpi.sys - ACPI
ACPI에 할당되어 사용되는 공간이라는 것을 알 수 있다.
이와 같이 meomry dump 파일 분석시에만 확인할 수 있는 내용을 실시간으로 확인할 수 있으므로
paged pool or non-paged pool 메모리가 풀로 사용중이라는 메시지가 뜨면 poolmon을 통해 어떤 프로세스가 과점하고 있는지 확인하여 조치를 취해주면 된다.
rem
rem Pooltag.txt
rem
rem This file lists the tags used for pool allocations by kernel mode components
rem and drivers.
rem
rem The file has the following format:
rem <PoolTag> - <binary-name> - <Description>
rem
rem Pooltag.txt is installed with Debugging Tools for Windows (in %windbg%\triage)
rem and with the Windows DDK (in %winddk%\tools\other\platform\poolmon, where
rem platform is amd64, i386, or ia64).
rem
AdSv - vmsrvc.sys - Virtual Machines Additions Service
ARPC - atmarpc.sys - ATM ARP Client
ATMU - atmuni.sys - ATM UNI Call Manager
Atom - <unknown> - Atom Tables
위의 내용은 C:\Program Files\Debugging Tools for Windows (x86)\triage 에 위치한 pooltag.txt에 있는 내용이다.
해당 파일에는 각 Pooltag , 파일명, 설명이 잘 나와있다.
혹시나 특정 파일 오류가 발견되는 경우 해당 파일을 참조하면되며 해당 파일은 Windbg를 설치하면 그곳에 나와있다.
2. msinfo32.exe
해당 툴 실행 후
시스템 요약 ->소프트웨어 환경의 각 내용을 선택하면 위와 같이 각각의 내용에 대해 확인할 수 있다.
이 내용은 Pooltag.txt의 내용과 동일하며 그룹별로 확인할 수 있으므로 필요시 찾아보면 된다.
3. Verifier
해당 툴은 해당 컴에 깔려있는 드라이버 중 MS에서 인증받지 못한 Driver들의 목록이 나와있다.
해당 드라이버들은 인증되지 않은 드라이브이기 때문에 MS에서도 해당 드라이브 정상 유무에 대해 검증해주지 않으므로 이슈가 있는 서버의 경우 확인하는 것이 좋다.
시작 -> 실행 -> verifier
위와 같이 간단하게 확인할 수 있으므로 이슈 서버에 대해 확인할 때 참고하면 좋은 툴인거 같다.
4. gflags.exe, poolmon.exe
poolmon.exe는 현재 메모리 풀에서 사용하는 리스트를 확인할 수 있다.
해당 툴을 사용하기 위해서는 gflags.exe에 enable pool tags 항목을 체크한 후 리부팅을 해야한다.
pool tagging은 pooltags.txt에 나와있던 pool tag랑 같은 의미이다.
해당 체크박스에 체크를 하면 각각의 pool tag별 값들을 가져오기 때문에 해당 체크를 적용해야하는 것이다.
poolmon은 각각의 pooltag에 얼마의 값들이 할당되어있는지를 알 수 있다.
nonpage, page별로 구분이 되어 있으며 확인방법은 다음과 같다.
ACPI Nonp 15 ( 0) 15 ( 0) 0 0 ( 0) 0
맨앞의 ACPI항목은 Pool-tag이므로 위에서 설명힌 pooltags.txt에서 해당 내용을 찾아보면
ACPI - acpi.sys - ACPI
ACPI에 할당되어 사용되는 공간이라는 것을 알 수 있다.
이와 같이 meomry dump 파일 분석시에만 확인할 수 있는 내용을 실시간으로 확인할 수 있으므로
paged pool or non-paged pool 메모리가 풀로 사용중이라는 메시지가 뜨면 poolmon을 통해 어떤 프로세스가 과점하고 있는지 확인하여 조치를 취해주면 된다.
