監(jiān)視系統(tǒng)中的i o活動(dòng)工具(irpmon)

關(guān)于IRPMon的說(shuō)明

IRPMon通過(guò)截取每一個(gè)IRP的完成例程來(lái)監(jiān)視一個(gè)系統(tǒng)中的I/O活動(dòng)。對(duì)每個(gè)I/O，用戶可以看到它的發(fā)生時(shí)間、進(jìn)程ID、線程ID、設(shè)備名稱、驅(qū)動(dòng)程序名稱，以及它的棧單元等信息。

主要功能：

1. IRPMon啟動(dòng)后，自動(dòng)進(jìn)入監(jiān)視狀態(tài)，即時(shí)刷新當(dāng)前列表窗口。
2. 通過(guò)點(diǎn)擊工具條的第一個(gè)按鈕（或菜單命令“Capture IRP”），可以停止監(jiān)視I/O，或重新啟動(dòng)I/O監(jiān)視功能。
3. 通過(guò)點(diǎn)擊工具條的第二個(gè)按鈕（或菜單命令“Follow IRP”），可以讓當(dāng)前窗口保持穩(wěn)定，或者總是顯示最新的IRP。

注意事項(xiàng)：

1. 由于IRPMon需要加載驅(qū)動(dòng)程序IRPMon.sys，所以，運(yùn)行IRPMon需要加載和啟動(dòng)驅(qū)動(dòng)程序的特權(quán)，建議在管理員帳戶下運(yùn)行。
2. IRPMon工具可以在Windows XP、Windows Server 2003、Windows Vista和Windows 7系統(tǒng)上運(yùn)行，僅限于Intel x86機(jī)器。
3. IRPMon的視圖不提供“清除(clear)”功能，所以，長(zhǎng)時(shí)間運(yùn)行IRPMon會(huì)影響系統(tǒng)性能。另外，IRPMon也不提供“保存(Save)”功能。
4. 由于IRPMon截取了內(nèi)核函數(shù)，建議在虛擬機(jī)中運(yùn)行IRPMon，并且運(yùn)行之前保存好其他程序的數(shù)據(jù)，以避免造成不必要的損失。