某一天,
工作所用笔记本突然越来越卡直至死机
以为只是windows11的抽风行为,之前就因为windows11资源管理器经常卡死(后升级小版本好多了)。
遂长按电源键强制关机重启。
然慢慢又越来越卡,直至卡死,无奈再次重启。
开机后打开任务管理器实时观测CPU和内存占用情况。
发现内存占用正在以微妙的速度慢慢增长,到达%60后,按照内存占用大小对进程排序,前几的都是常用应用,关掉后仍然没有阻止上涨的趋势。
80%后机智的保存正在编写的各个文件,等待死机。
再次强制重启后,立马打开任务管理器,回忆最近有没有做过什么操作,打开杀毒软件,一切正常,突然地想起最近安装了某软件。
等待内存不断升高,然后查看该软件相关进程,看不出啥。。猛地发现该软件似乎开了很多小进程,虽然每个进程占用很小的内存,但我直接忽略,谁知道还开了啥看不到的进程,找该软件相关人员询问。
相关人员表示懵逼,我也懵逼,忘记了去询问的原因,强装镇定。
后无奈排除该原因,又开始新一轮回忆,然并卵。
后按“国际惯例”,遇到问题不是从底层原理开始分析问题,而是。。直接谷歌百度。
找到一篇关于定位Windows内存泄漏的文章,使用了PoolMon工具,Poolmon是一款windows平台下的核心内存泄漏检测工具。
到官网下载Poolmon和RAMMap工具。
关于RAMMap的微软介绍:RAMMap - Sysinternals | Microsoft Learn
关于PoolMon的微软介绍:PoolMon - Windows drivers | Microsoft Learn
poolmon集成在wdk里,需要运行wdksetup.exe进行安装。
https://learn.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk
争分夺秒的感觉,要在下次死机前下载安装完。。
下载安装完成,打开使用!
RAMMap直接下载解压,打开使用。
poolmon:进入到 "poolmon的绝对路径目录",打开cmd,poolmon.exe的位置C:\Program Files (x86)\Windows Kits\10\Tools\x64\poolmon.exe。
.\poolmon.exe -b启动运行,-b是按照内存字节大小倒序排列。
此时内存来到了58%,我能否在卡死之前解决该问题呢。
首先利用RAMMap查看占用高的进程,发现MemCompression进程,这个进程在windwos自带的任务管理器看不到,该进程是官方的内存压缩功能,鸡贼的是反而内存以及CPU增加了,不管三七二十一,直接关闭该功能。管理员身份运行Disable-MMAgent -mc。问题不在这,意料之中。
然后利用poolmon,定位NpCD,类型为Nonp,这是在任务管理器查不到的内存占用,发现其申请(Allocs)了大量内存,但是释放(Frees)0内存,明显的内存泄漏, 持续观察一段时间,发现其占用总内存(Bytes)持续增长,看来是内存泄漏,不断申请导致占用不断升高,对应的任务管理器内存已经来到了70%。而外面,落日仍有残留余辉,混着人间灯火。
下面开始定位“始作俑者”,cd到C盘根目录,使用findstr /m /l /s NpCD *.sys,查找定位tag为NpCD的系统驱动模块文件。
与内存赛跑!
想一想人生,看了眼外面的一棵树和树下一块石,突然释怀了,何必紧张呢,大不了继续强制重启。
事实如我所想,一直到卡死死机,findstr没有查找出,看来“面包不一定有,意料之外的问题总是会有的”,原来是我命令输错了,NpCD和*.sys之间应该有个空格,而我输入的时候以为没有。所以一直没反应,还以为是我C盘文件太多了。
强制重启后,继续!
定位成功,为npcap所致,逝去的回忆涌来,依稀记得近段时间为了抓网路流量包,安装了该软件,虽然能用,但安装过程由于与本地某软件“不合”并不顺畅,可能正是该原因,导致npcap出了点问题,内存泄漏。
于是乎,卸载npcap和相关文件。
问题成功解决!观察很长一段时间,内存保持正常,未再出现异常增长和卡死问题了。
随手记录,完结。