如何确定哪个应用程序正在泄漏非分页内存？

我们最近在实时服务器上遇到了一个问题，导致我们的 Web 应用停止响应。我们收到的都是 503 错误，直到我们重新启动服务器后才恢复正常。最后我将其追溯到 httperr.log，发现了大量 1_Connections_Refused 错误。

进一步的调查似乎表明我们已经达到了非分页池限制。从那时起，我们一直在使用 Poolmon.exe 监控非分页池内存，我们相信我们已经确定了导致问​​题的标签。

Tag   Type    Allocs       Frees       Diff       Bytes      Per Alloc
Even  Nonp  51,231,806   50,633,533   684,922   32,878,688      48

如果我们使用poolmon.exe /g，它会将映射驱动程序显示为[<未知>事件对象]。

这几乎不根本帮不上忙。我的团队花了大量时间研究这个问题，但一直没能找到一个流程来将问题缩小到特定的应用程序或服务。我感觉大多数人似乎通过终止机器上的进程直到他们看到非分页内存重置来解决问题。这并不是您在生产机器上工作时想要看到的。

如果我打开任务管理器并查看进程列表。我看到 MailService.exe 的 NP 池值为 105K，这比第二个进程的值高 36K。由于我们过去遇到过一些邮件服务器问题（可能与此问题有关，也可能无关），我的直觉是这导致了问题。

然而，在我们重新启动服务之前，我希望获得比“直觉”更多的确定性。

我也尝试过使用poolmon.exe /c但这总是返回错误：

unable to load msvcr70.dll/msvcp70.dll

并且它不会创建 localtag.txt。我的同事不得不从互联网上下载pooltag.txt，因为我们不知道它位于何处。我们没有安装 win 调试器或 win DDK（据我所知）。也许出现上述错误是因为我们没有安装其中任何一个 - 但我不知道。

最后我尝试了：

C:\windows\system32\driver\findstr /m /l Even *.sys

这返回了一个相当大的 .sys 文件列表，但对于解决当前的问题没有任何帮助。

我的问题是这样的：还有其他方法可以缩小导致内存泄漏的原因吗？

更新：

如下所述，我在过去一天左右一直在记录池非分页字节数，以查看是否有任何进程呈上升趋势。在大多数情况下，所有进程的使用率似乎都相当稳定。其中两个进程似乎略有上升。我将在接下来的几天继续监控这一点。

我之前还忘了提到，所有进程似乎都没有使用过多的句柄。

更新2：

过去几周我一直在监控这个问题。在此期间，单个进程的非分页字节池和总的非分页字节池都保持相对稳定。在此期间，Windows 进行了更新，服务器也进行了重启，所以我想知道这是否解决了问题。与之前相比，我现在肯定没有看到非分页字节池持续增长。