監(jiān)視系統(tǒng)中的i o活動工具(irpmon)

關于IRPMon的說明

IRPMon通過截取每一個IRP的完成例程來監(jiān)視一個系統(tǒng)中的I/O活動。對每個I/O，用戶可以看到它的發(fā)生時間、進程ID、線程ID、設備名稱、驅動程序名稱，以及它的棧單元等信息。

主要功能：

1. IRPMon啟動后，自動進入監(jiān)視狀態(tài)，即時刷新當前列表窗口。
2. 通過點擊工具條的第一個按鈕（或菜單命令“Capture IRP”），可以停止監(jiān)視I/O，或重新啟動I/O監(jiān)視功能。
3. 通過點擊工具條的第二個按鈕（或菜單命令“Follow IRP”），可以讓當前窗口保持穩(wěn)定，或者總是顯示最新的IRP。

注意事項：

1. 由于IRPMon需要加載驅動程序IRPMon.sys，所以，運行IRPMon需要加載和啟動驅動程序的特權，建議在管理員帳戶下運行。
2. IRPMon工具可以在Windows XP、Windows Server 2003、Windows Vista和Windows 7系統(tǒng)上運行，僅限于Intel x86機器。
3. IRPMon的視圖不提供“清除(clear)”功能，所以，長時間運行IRPMon會影響系統(tǒng)性能。另外，IRPMon也不提供“保存(Save)”功能。
4. 由于IRPMon截取了內核函數(shù)，建議在虛擬機中運行IRPMon，并且運行之前保存好其他程序的數(shù)據(jù)，以避免造成不必要的損失。