Precisa de ajuda para controlar o vazamento de memória do lsass.exe

4

Estou tentando rastrear um vazamento de memória em lsass.exe , seguindo as diretrizes do artigo1 e article2 , entre outros. Eu passei pela configuração de gflags para lsass.exe , reiniciei e descobri que ele tem o ID do processo 804. Agora, executo a linha de comando:

umdh -p:804 -f:mylog.txt

Isso imediatamente devolve o erro:

Error: Failed to enumerate process modules.

E o arquivo de log não tem nada de útil:

// 
// UMDH: version 6.2.9200.16384: Logtime 2013-05-16 14:49 - Machine=SHAUL-WORK-LT - > PID=804
// 
// Debug privilege has been enabled.
// OS version 6.1 Service Pack 1
// Umdh OS version 6.2
// 
// Preparing to dump heap allocations.
// Only allocations for which the heap manager collected a stack are dumped. Allocations whithout stack are ignored.
// The stack trace for an allocation is dumped as a list of addresses. They will be resolved to function names at compare time.
// 
// Connecting to process 804 ...
// Process 804 opened handle=48.

Para onde eu vou daqui?

    
por Shaul Behr 16.05.2013 / 13:56

3 respostas

2

Ferramentas de baixo nível, como o UDMH, tendem a estar intimamente associadas ao sistema operacional. Parece que o seu UDMH é de um sistema operacional diferente:

// OS version 6.1 Service Pack 1     <<<< 6.1 = Windows 7
// Umdh OS version 6.2               <<<< 6.2 = Windows 8

Tente obter o UDMH que corresponda ao seu Windows 7 (6.1.7600).

    
por 20.05.2013 / 22:01
2

Tanto quanto eu posso ver, lsass.exe no Windows 7 não está vazando memória.

O artigo que você cita está relacionado ao Windows Server 2003 / Vista, onde lsass.exe e csrss.exe vazou memória como um louco e acessou o disco sem parar, por isso foram algumas das principais razões que o Vista foi uma falha (ou um sucesso menor do que o Windows 7). Esses bugs foram corrigidos no Windows 7 (mas nunca no Vista - não me pergunte por quê).

Se a sua versão do lsass.exe vazar memória em grande escala, Gostaria de verificar o seu computador com vários produtos antivírus conhecidos, bem como executar sfc / scannow .

A respeito do umdh (mesmo que depure o lsass.exe e não seja realmente necessário), Verifique se você instalou o SDK e as ferramentas de depuração do Windows para Windows mais recentes.

Se o umdh ainda não funcionar com esta última versão (ou como foi notado por @ Jonathan com a versão do Windows 7), e se você executá-lo em um prompt de comando (cmd) que é "Executar como administrador" (obrigatório mesmo se você for o administrador), então a Microsoft pode ter bloqueado sua capacidade de rastrear processos essenciais do sistema como o lsass.

Uma última tentativa pode ser usar outra conta de usuário privilegiada com a ajuda de DevxExec ( download ):

devxexec.exe /user:TrustedInstaller "umdh -p:804 -f:mylog.txt"
    
por 20.05.2013 / 22:29
1

Se eu fosse você, faria o seguinte:

Faça o download do explorador de processos aqui link

Abra e clique com o botão direito em lsass.exe e vá para propriedades. Pule para a aba de threads e veja se há alguma thread com uso consistente de cpu e vá para a aba services e veja se há algum serviço que você não reconhece ou qualquer serviço não relacionado a windows usando lsass, e pare-os. Espero que isso o leve na direção da causa do problema.

    
por 24.05.2013 / 15:48