PoolMon 을 보거나.. !poolused를 써서.. 메모리릭을 추적하다보면
낯선 Tag 들이 간간히 보입니다.

과연.. 이 Tag를 이용해서 Pool 을 쓴녀석이 누굴까!!! 찾는 Tip 입니다.

명령창에서  findstr /m /i tag *.sys 를 해보면 알 수 있습니다.

예를들어.
명령창켜고 ~

%systemroot%\system32\drivers 에서
findstf /m /I hTCPt *.sys
를 실행하면 하면 TCPip.sys 가 튀어나올것이고요~ ^^

findstr /m /l hCPnp *.sys
를 하면~~
Classpnp.sys 또는 Acpiec.sys 가 나타날것입니다.

….
물론… 탐색기의 검색기능을 이용하는 매우 쉬운 방법도 있구요
Windbg 가 설치되어있다면.. 기존에 알려져있는것인지 PoolTag 인지 확인할 수 있는…
Pooltag.txt 파일을 이용할 수 도 있습니다.~ ^^
위치는 Windbg\triage\에 Pooltag.txt입니다.

findstr이 얼마나 유용한 팁일런지는 모르겠지만..^^
모든 Windows  계열 OS 에 포함된 툴이니.. 써보세요~ ^^

Symbol Status Abbreviations

Symbol file types and their loading status can be determined by using the lm (List Loaded Modules) command, the !lmi extension, or WinDbg’s Debug | Modules menu command.

Each of these displays information about loaded modules and their symbols.

The following abbreviations are used in the displays generated by these commands:

© 2006 Microsoft Corporation
Send feedback on this topic
Debugging Tools for Windows
June 30, 2006

https://www.osronline.com/article.cfm?id=328