安装Windgb,使用gflags设置 pooling tag 参数
gflags.exe /r +ptg
使用poolmon.exe /b 查看最大的分页标签,本次为 FMfn
poolmon.exe /b
这是正常后的示例,FMfn需要下拉
使用findstr查找对应的驱动
findstr /s /m /b FMfn c:\windows\system32\drivers*.sys
在bing上搜索fltmgr.sys 属于微软广发的文件系统过滤驱动,它提供minifilter的接口,供第三方驱动集成,由于第三方驱动存在内存泄漏导致的。
通过wke (windows kernel explorer.exe)查找minifilter的加载的驱动和动态库,找出可疑的。本次找出来LSI_SAS2l iaLPSS1z可以的路径
通过 fltmc.exe查看已加载的,也确定了是 LSI_SAS2l iaLPSS1z
进入安全模式,打开注册表,删除上述两个服务即可。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LSI_SAS2l
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LSI_SAS2lHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iaLPSS1z
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iaLPSS1z
重启即可。
验证
再次使用fltmc.exe查看,已经不再输出 LSI_SAS2l iaLPSS1z了。隔了半个小时观察 分页缓冲池没增加。该问题基本算是解决了。
网上搜索一下 这个LSI_SAS2l iaLPSS1z是被称为 “麻辣香锅”的病毒,通过KMS激活工具传播。