使用RAMMap+PoolMon分析Windows内存使用异常问题

最新推荐文章于 2024-08-18 16:30:13 发布
最新推荐文章于 2024-08-18 16:30:13 发布
阅读量4k 收藏 6
点赞数 2
文章标签: windows
原文链接:https://www.cnblogs.com/kernelry/p/17351542.html
版权
本文介绍了微软Sysinternals工具RAMMap和PoolMon在Windows内存管理中的应用,尤其是在分析内核模式下内存分配时的重要性。通过案例研究,作者展示了如何使用这些工具解决WindowsServer2016虚拟机内存异常增长的问题,最终确定是VMwareTools驱动版本过低导致的。
摘要由CSDN通过智能技术生成

由于技术能力有限,文章仅能进行简要分析和说明,如有不对的地方,请指正,谢谢🙂。

1 RAMMap和PoolMon工具简介

RAMMap和PoolMon都是微软Sysinternals的工具,前者可以从使用类型、页列表、进程、文件、优先级,以及物理地址来检查内存的使用情况,但是无法检查尚未提交和分页的进程内存使用情况;后者可以是作为RAMMap的补充,可以检查系统分页和非分页的缓冲池内存使用情况,并且提供了按照驱动程序的角度来查看其内存使用情况。

可以说RAMMap可以详细分析用户模式下进程的内存分配情况,但对于内核模式下的内存分配,还是要使用PoolMon来详细分析。

关于RAMMap的微软介绍:RAMMap - Sysinternals | Microsoft Learn

关于PoolMon的微软介绍:PoolMon - Windows drivers | Microsoft Learn

2 Windows内存分配说明

Windows操作系统使用来分配和管理内存,并将多个物理内存页组成一片虚拟地址空间,物理内存页是不连续的,而虚拟地址空间是连续的。应用程序正是使用了一片连续的虚拟地址来访问物理内存中不连续的内存页,并且由处理器完成虚拟地址和物理地址之间的转换。

处理器根据不同的应用程序代码在用户模式和内核模式些切换,用户模式运行的是notepad.exe、calc.exe这类应用程序,每个应用程序的虚拟地址空间都是独立的,称为“用户空间”,如果一个应用程序发生故障,其他应用程序和操作系统不受崩溃的影响;内核模式包含了核心系统组件和驱动程序,所有代码共享单个虚拟地址空间,称为“系统空间”,如果内核模式驱动程序发生故障,整个操作系统就会发生故障。

而在系统空间里面,又有两个可以动态分配内存的区域:分页缓冲池和非分页缓冲池,分页缓冲池的内存可以被调出到磁盘(发生swap),但是非分页缓冲池的区域是无法调出到磁盘(无法swap)一直占用着内存。

内核模式下的核心系统组件或者驱动程序可以同时使用分页缓冲池和非分页缓冲池的空间,记住如果使用了对于非分页缓冲区,则是固定在物理内存中,无法swap的。

 3 案例分享

有一台Windows Server 2016的服务器,运行在VMware vSphere虚拟化平台上,平台版本为6.7,每间隔1周左右,虚拟机就会出现内存异常增长,且通过操作系统自带的任务管理器、资源管理器均无法找到消耗内存的具体进程信息,并且也使用了杀毒软件进行扫描,没有发现异常程序。

  1. 虚拟化平台监控到内存异常增长。

  2. 任务管理器显示消耗最大内存空间的为dwm.exe进程,实际上才占用134252KB。

  3. 杀毒软件扫描结果,没有发现任何异常信息。

3.1 使用RAMMap分析内存的整体分配情况

RAMMap不需要额外安装,在RAMMap - Sysinternals | Microsoft Learn下载传到服务器上运行即可。

  1. 解压后在文件夹中找到RAMMap64(64位操作系统),双击打开。

  2. 发现99%的内存都被分配到了NonPaged Pool

结合前文对Windows内存的分配说明,Nonpaged Pool是属于内核模式下的系统空间,这篇区域的内存基本被操作系统的核心组件和驱动程序所使用,而那就需要使用PoolMon继续分析Nonpaged Pool的具体使用情况。

3.2 使用PoolMon分析非分页缓冲池的使用情况

PoolMon包含在Windows 驱动程序工具包 (WDK) 的 \Tools\Other 子目录中,微软并没有提供单独的工具下载,而WDK工具的安装需要联网,服务器又处于内网环境无法访问互联网。后面经过测试,可以找一台可联网的机器安装WDK工具,在WDK安装目录下的\Tools\x64 子目录找到poolmon.exe拷贝出来,例如我安装到了C:\Program Files (x86)\Windows Kits\10\Tools\x64目录下。

接下来就是使用PoolMon分析非分页缓冲池的详细使用情况了:

  1. 打开cmd,在poolmon.exe所在目录,直接执行.\poolmon.exe -p -b,可以看到消耗最多内存空间是VFil和VNet。(这里因为显示不全,暂不)

  2. 检查操作系统补丁情况,发现只有安装操作系统时自带的补丁,未再安装其它更新。

  3. 检查虚拟化平台的BUG情况,暂未发现直接关联的,但是在一篇KB(https://kb.vmware.com/s/article/2077302)中找到了关联的问题,VFil和VNet可能是VMware Tools的驱动,并且要求升级VMware Tools到10.0.8以上,而虚拟机所安装的VMware Tools版本是12.0.0,故基本可以排除是这个BUG。

我们已经通过PoolMon定位到消耗内存资源的罪魁祸首是vFIL和vNET,由于VMware Tools的版本比KB中说明的版本要高,暂不考虑升级VMware Tools。

由于该问题是可复现的(基本上运行了一周左右就会出现这个情况),沟通处理该问题的解决方案时,采用了排除法:

  1. 考虑先对操作系统安装最新的补丁。
  2. 如果操作系统补丁无效,则说明不是由于操作系统自身原因,再考虑升级VMware Tools。

最后通过观察,确认是安装了当时操作系统最新的补丁后解决了这个问题。

总结:工欲利其事,必先利其器。需要对所解决的事情涉及的理论和内容有一定的了解,才能够正确地使用工具来解决问题。

上一篇硬件时钟和系统时钟的同步机制及案例分享

下一篇Prometheus监控之SNMP Exporter介绍和数据展现

xcntime
关注
Nonpaged Pool(未分页池)占用内存过多分析定位
weixin_40188600的博客
09-26 1万+
Nonpaged Pool(未分页池)占用内存过多分析定位 问题定位用到三个小工具:RAMMapPoolmon、Strings.exe 背景:接到项目反馈,应用服务器内存占用达到80%以上,w3wp占400M,剩余的11G内存跑哪里去了呢,任务管理器看不到,但是可以看到Nonpaged Pool(未分页池)占用内存很多。非产品问题本应该由客户管理员去解决,但问题原因与之前微软case案例相似,邮...
全面介绍Windows内存管理机制及C++内存分配实例(一):进程空间
热门推荐
北海-叶明的专栏
01-16 2万+
本文背景:在编程中,很多Windows或C++的内存函数不知道有什么区别,更别谈有效使用;根本的原因是,没有清楚的理解操作系统的内存管理机制,本文企图通过简单的总结描述,结合实例来阐明这个机制。本文目的:对Windows内存管理机制了解清楚,有效的利用C++内存函数管理和使用内存。本文内容:本文一共有六节,由于篇幅较多,故按节发表。其他章节请看本人博客的Windows
内存泄漏之如何通过RAMMap跟踪内存泄漏?
学无止尽,谨言慎行!
08-17 1432
使用RAMMap跟踪内存泄漏是一个有效的方法,因为RAMMap能够实时显示并分析系统的物理内存和虚拟内存状态,包括各种内存区域(如文件缓存、进程工作集、系统缓存等)的占用量。
解决Windows内存溢出/占满死机问题-PoolMon工具
木木的博客人生
10-18 4752
然后利用poolmon,定位NpCD,类型为Nonp,这是在任务管理器查不到的内存占用,发现其申请(Allocs)了大量内存,但是释放(Frees)0内存,明显的内存泄漏, 持续观察一段时间,发现其占用总内存(Bytes)持续增长,看来是内存泄漏,不断申请导致占用不断升高,对应的任务管理器内存已经来到了70%。定位成功,为npcap所致,逝去的回忆涌来,依稀记得近段时间为了抓网路流量包,安装了该软件,虽然能用,但安装过程由于与本地某软件“不合”并不顺畅,可能正是该原因,导致npcap出了点问题内存泄漏。
PoolMon 使用
Jian Sun_的博客
05-28 431
PoolMon 显示PoolMon 在命令窗口中显示有关池内存分配的数据列。使用箭头键、PAGE UP 和 PAGE DOWN 键在数据间滚动。若要查看全部 PoolMon 显示,则命令提示符窗口必须至少为 80 个字符宽(宽度 = 80)和 53 行高(高度 = 53);并且命令提示符窗口缓冲区必须至少 500 个字符宽度(宽度 = 500)和 2000 行高度(高度 = 2000)。否则,显示可能会被截断。下表说明了 PoolMon 显示中的列。分配给池分配的 4 字节标记。
内存分析Windows
最新发布
山兔的博客
08-18 1154
1、从计算机进行内存捕获可以通过多种方式完成,处于打开状态的计算机可以使用以下工具之一捕获内存:FTK ImagerRedlineDumpIt.exe这些工具通常会输出一个 .raw 文件,其中包含系统内存的镜像。.raw 格式是最常见的内存文件类型之一。2、只要驱动器未加密,处于关闭状态机器就可以相对轻松地提取内存。对于 Windows 系统,可以通过拉取以下文件来完成:%SystemDrive%/hiberfil.syshiberfil.sys,是Windows 休眠文件。
windows问题分析内存
longkuis的专栏
09-16 1667
windows 内存分析,故障排查
解决Windows内存问题的两个小工具RamMap和VMMap
02-05
电脑的内存在一定程度上影响着电脑的运行,所以内存的利用率的大小也是与电脑的使用正常有着很大的关系,因此,以下为大家推荐一款可以解决Windows内存问题的工具,以此来让你的内存使用率更大,让电脑的运行更稳定...
rammap window内存分析和清理
07-20
RAMMap 是适用于 Windows Vista 及更高版本的高级物理内存使用情况分析实用工具, 一般点击Empty Working Sets 和 Empty System Working Set; Empty Working Sets(清空工作集) Empty System Working Set(清空...
快速清理计算机内存垃圾的脚本-RAMMap
02-23
用户双击此文件就可以运行RAMMap,进行内存分析和清理。 2. **RAMMap64a.exe** - 这可能是64位版本的RAMMap,为64位操作系统设计,确保在处理大量内存时提供最佳性能。 3. **Eula.txt** - 这是End User License ...
POOLMON 内存分析工具
01-29
WINDOWS 内存泄露分析工具 。经典工具!!!!!!!
poolmon 工具,poolmon 工具,poolmon 工具
03-31
poolmon 工具,poolmon 工具,poolmon 工具
poolmon小工具
06-25
工作中有时会遇到内核级的内存泄漏,幸好微软给我们程序员提供了一很强大的技术支持工具箱,而在这个工具箱中有一个工具poolmon.exe可以监视内存泄漏,包括内核级别的内存泄漏。
poolmon内存
12-27
poolmon 用于测试内存泄漏情况、内存使用
RAMMap.exe
05-20
ammap是一款物理内存检测工具。rammap可以通过不同的方式在不同的标签里将系统中的各种物理内存分配情况详细检测并显示出来,然后通过指定的方式对不同区域内的物理内存进行清理,有效地减少系统运行负荷
rammap自动运行程序
02-15
RAMMap是一款强大的内存分析工具,由微软的 Sysinternals 团队开发,主要用于分析和理解操作系统的内存使用情况。这个工具能够帮助用户深入洞察系统内存的分配和使用,包括物理内存、分页文件以及系统缓存等。在标题...
RAMMap中文版 内存资源释放工具,无需安装,亲测最强
11-02
RAMMap是一款强大的内存分析和管理工具,尤其适合Windows 10用户。它是由Mark Russinovich,著名的系统工具开发者,为Sysinternals开发的。这款工具无需安装,用户可以轻松地解压并直接运行,极大地简化了使用流程。...
RAMMap ━━━━━ 解决电脑运行内存不够的软件
【收录奇奇怪怪的电脑小知识】 原创来于生活
08-22 8246
内存过大?不想换内存,就用【RAMMap】,占用小,易启动
使用缓存作为内存 (cache as ram) 具体代码
05-25
缓存作为内存(cache as RAM)是一种将计算机缓存作为虚拟内存使用的方法,这种方法通常用于嵌入式系统或其他资源受限的环境中。下面是一个使用缓存作为内存的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <fcntl.h> #include <sys/mman.h> #define MEM_SIZE 4096 #define CACHE_SIZE 1024 int main(int argc, char *argv[]) { int fd = open("/dev/mem", O_RDWR); if (fd == -1) { perror("open"); exit(1); } void *mem = mmap(NULL, MEM_SIZE, PROT_READ | PROT_WRITE, MAP_SHARED, fd, 0); if (mem == MAP_FAILED) { perror("mmap"); exit(1); } void *cache = mem; // 使用缓存作为内存 // 使用缓存作为内存进行读写操作 int *data = (int *) cache; for (int i = 0; i < CACHE_SIZE; i++) { data[i] = i; } // 将缓存的内容写回到实际内存中 if (msync(mem, MEM_SIZE, MS_SYNC) == -1) { perror("msync"); exit(1); } if (munmap(mem, MEM_SIZE) == -1) { perror("munmap"); exit(1); } if (close(fd) == -1) { perror("close"); exit(1); } return 0; } ``` 在这个示例代码中,我们通过使用 `mmap` 函数将 `/dev/mem` 文件映射到程序的内存中,然后将缓存指针设置为映射的内存指针,从而实现了缓存作为内存的目的。在示例代码中,我们将缓存大小设置为 1024,实际内存大小设置为 4096,因此我们只能使用缓存中的一部分来存储数据。如果我们要访问实际内存中未映射的部分,可能会导致程序中断或发生其他问题。因此,在使用缓存作为内存时需要格外小心,确保不会访问到未映射的内存区域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值