监视系统中的i o活动工具(irpmon)

关于IRPMon的说明

IRPMon通过截取每一个IRP的完成例程来监视一个系统中的I/O活动。对每个I/O，用户可以看到它的发生时间、进程ID、线程ID、设备名称、驱动程序名称，以及它的栈单元等信息。

主要功能：

1. IRPMon启动后，自动进入监视状态，即时刷新当前列表窗口。
2. 通过点击工具条的第一个按钮（或菜单命令“Capture IRP”），可以停止监视I/O，或重新启动I/O监视功能。
3. 通过点击工具条的第二个按钮（或菜单命令“Follow IRP”），可以让当前窗口保持稳定，或者总是显示最新的IRP。

注意事项：

1. 由于IRPMon需要加载驱动程序IRPMon.sys，所以，运行IRPMon需要加载和启动驱动程序的特权，建议在管理员帐户下运行。
2. IRPMon工具可以在Windows XP、Windows Server 2003、Windows Vista和Windows 7系统上运行，仅限于Intel x86机器。
3. IRPMon的视图不提供“清除(clear)”功能，所以，长时间运行IRPMon会影响系统性能。另外，IRPMon也不提供“保存(Save)”功能。
4. 由于IRPMon截取了内核函数，建议在虚拟机中运行IRPMon，并且运行之前保存好其他程序的数据，以避免造成不必要的损失。