内存耗尽排查思路

内存耗尽排查思路 – WhiteNight's Site

标签：日志

内存间断性耗尽问题的排查思路

先简单说下背景。排查了两天给我整麻了。

找了个镜像模板做虚拟机。但是发现只要一开机，内存每隔几秒就会被耗尽。看内存的波形图就和坐过山车一样，一会占用10%，一会占用99%。而且无论是分给虚拟机8g还是16g的内存都会马上被耗尽。该现象持续5-6秒之后又能自己恢复。然后就是无限循环以上过程。搞得我打开任务管理器都要卡半天，纯纯的折磨。

我反正是百思不得其解。任务管理器也看不出来什么。（内网整的环境，图肯定是发不到外网来的。所以本文都用的是自己电脑的图片，方便演示）看进程的内存占用看半天也找不到是谁在吃内存。但是内存就是会很莫名其妙的被吃满。直观看着就是：占用内存最大的前十个进程加起来才3g，但是剩下13g的内存莫名其妙的被占用了。

接下来用process exlporer和process hacker查隐藏进程。毕竟任务管理器看不到隐藏进程。这两个软件用起来感觉差不多，前者我个人觉得要更好用一些。后者老是报毒，感觉不太行。但还是找不出到底是哪个进程一口气吃了13g的内存。除了内存的波形图比windows任务管理器自带的好看一点，对这个问题没啥本质性的帮助。

再接下来就是怀疑中病毒了。花了三个小时全盘扫描，除了删了三个破解软件用的工具，也没查出有什么病毒。本身我也不是网安专业的，查病毒查内存这些只会用点工具，所以暂时放弃往中病毒的这个方向找，先看看有没有其他的思路。

没办法，cmd输msconfig开安全模式（进安全引导）。安全模式简单来说，该启动的启动，多余的东西，比如一些开机自启的服务这些一概不启动。

写者注

插曲：edr是真的猛。管理员权限拿它一点办法都没有，进安全模式它也会自启。百分百是system权限。不过进安全模式就能杀进程删文件了，并不是完全无解。

进安全模式之后发现这种现象没了。虚拟机开着挂了十分钟也没观察到内存耗尽的现象。这个时候问题就该定位到安装过的软件上面了。肯定是有什么东西开机自启，然后疯狂吃内存又释放内存反复循环。

最后还是事件管理器好用，看了下windows日志。发现有两个莫名其妙的应用程序一直在反复写日志。而且每次日志的时间和内存占用开始增长的时间点几乎完全对的上。不过去网上搜也搜不出这两个应用是啥。最后还是在内网找文档才找到。最后在安全模式下删掉对应的应用，重启。问题完美解决。