Loading
0

Windows 2008 Paged Pool Leak(页面缓冲池内存泄露)的排查实例

' ZhaoHuan 2016年10月11日 windows安全 312 0

Windows 2008 R2 内存使用率高,将近90%, 没有发现可疑进程

排查过程

1. 内存使用率高90%左右,但是没有发现异常进程

task.PNG

2. 使用rammap 发现pool page 使用率高,应该是paged pool leak 问题

rammcap.PNG

Rammap 下载以及使用说明: https://technet.microsoft.com/en-us/sysinternals/rammap.aspx

3. 抓取poolmon 日志,发现IoDn 这个tag 将pool 都耗尽了:

IoDn Paged           38420004           12868162          25551842     6253114928              244        Unknown Driver

CM31 Paged             221547             199063             22484       96825344             4306        Unknown Driver

prpt Paged             445386             222473            222913       22824160              102        Unknown Driver

poolmon 使用参考:

https://technet.microsoft.com/en-us/library/cc737099(v=ws.10).aspx

4. 检查perfmon 日志,发现磁盘使用率不高 5. 检查IoDn tag, 发现SafeDogFileGuard.sys 嫌疑性最大

ssys.PNG

关于Tag的介绍,请参考微软官方Blog:

http://blogs.technet.com/b/askperf/archive/2008/04/11/an-introduction-to-pool-tags.aspx

解决方案:

建议卸载安全狗, 测试后问题解决。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。