Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Программное обеспечение
- 02.08.2020
- 11 186
- 9
- 16
- 12
- 4
- Содержание статьи
- Описание
- Исправляем ошибку
- Комментарии к статье ( 9 шт )
- Добавить комментарий
Описание
Process Monitor (сокращенно Procmon.exe или Procmon64.exe) — очень популярная утилита, которая имеет огромное количество различных функций и очень помогает в процессе использования ОС Windows, но при ее запуске, может появляться вот такая вот ошибка:
Unable to load process monitor device driver
Если в этот момент посмотреть в просмотр событий, то увидим вот такую вот ошибку:
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: DeviceHarddiskVolume2WindowsSystem32driversPROCMON24.SYS
На английском:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: DeviceHarddiskVolume2WindowsSystem32driversPROCMON24.SYS
Исправляем ошибку
Данная ошибка связана с тем, что в 64-битных версиях Windows майкрософт добавили проверку цифровой подписи и из-за этого, Windows не дает загружать необходимый драйвер, т.к. он не проходит проверку на валидность. Ошибка решается очень просто, путем установки обновления KB3033929, которое добавляет поддержку SHA-2 для проверки валидности сертификатов. Скачать данное обновление можно по следующей ссылке:
https://www.microsoft.com/ru-ru/download/details.aspx?id=46148
После того, как мы скачали Windows6.1-KB3033929-x64.msu, необходимо его запустить и дождаться окончания установки.
После окончания установки не забываем нажать кнопку «Перезагрузить сейчас«
Чтобы ошибка перестала выскакивать ОБЯЗАТЕЛЬНО необходимо перезагрузить компьютер после установки данного обновления.
После перезагрузки Process Monitor должен запускаться нормально, а ошибка исчезнуть.
Attempts to run the 64 bit version of procmon to observe a process’ activity results in the following error: Unable to load Process Monitor Device Driver. This has been mentioned in posts going back to 2008. There are several solutions noted as the root cause, not of which worked for me including:
- The Workstation service needs to be running (it is)
- Extract the 64 bit binary from the procmon.exe into it’s own binary procmon-64 (didn’t work)
- When on a 64 bit system, Procmon extracts a 64bit binary in the %TEMP% folder as Procmon64.exe and runs that. That part seems to be working.
- Login as Administrator and try it (didn’t work)
I checked Event Viewer->Security and saw that there was an Audit Error:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: DeviceHarddiskVolume2WindowsSystem32/drivers/PROCMON23.SYS
So, PROCMON32.SYS was not being installed. After a lot of searching, I found this blog post that describes the actual root cause and how to resolve it. It involves Microsoft update KB3033929 which added support for SHA-2 certificate signing (in preparation of the likely SHA-1 vulnerabilities).
If the system gets regular updates, this update would already by applied. The system I’m using is not connected to the internet and cannot access a WSUS server so updates are not applied on a regular basis. This explains why procmon works on a similarly configugured system that coincidently had been updated recently.
After manually downloading and applying this update the process monitor was able to install the driver and run.
I am trying to load Process Monitor (Procmon.exe) from Sysinternals, and I get the following error on startup.
Unable to load Process Monitor device driver
In the Event Viewer, I get the following.
Driver PROCMON11.SYS has been blocked from loading.
What is blocking it from loading?
Background information: I have no anti-virus or malware checker software installed, other than Windows Defender (which I think is part of Windows 7).
asked Nov 17, 2010 at 6:24
AngryHackerAngryHacker
18.1k66 gold badges153 silver badges209 bronze badges
It seems that most people on the web who had this problem, solved it by installing a newer version of procmon, or an older version if their’s was the latest.
Hello71
8,3975 gold badges40 silver badges44 bronze badges
answered Mar 30, 2011 at 21:23
1
An action that worked for me was to restart the computer (powering it off in the process, if it matters).
Platform:
- Windows XP SP2 Professional 64-bit.
- Process Monitor v3.03 (released 2012-07-16).
- I had previously used Process Monitor v2.03 (likely release date 2008-12-10).
answered Aug 18, 2012 at 12:47
Peter MortensenPeter Mortensen
12.1k23 gold badges69 silver badges90 bronze badges
For me, the solution in this article solved my problem.
In one word, we need to install KB3033929.
answered Dec 27, 2020 at 13:22
0
Here’s a link for the older version:
https://web.archive.org/web/20190220013755/https://download.sysinternals.com/files/ProcessMonitor.zip
answered Sep 22, 2022 at 20:31
If you ran it successfully before and are having issues now, then most common issue is the procmonXX.sys driver inside of C:WindowsSystem32drivers is locked up by another process, specifically a zombie process of Process Monitor. It probably failed to cleanly exit last time and just got stuck. The solution is to open task manager and kill Process Monitor to solve the issue.
If you want to find out if this is the case, delete that driver file (Process Monitor automatically re-installs it when it runs). If it denies access because it’s open in another process, that’s definitely the issue. If it deletes it successfully, then it may have been corrupt and the next time you run Process Monitor it’ll work by re-installing it.
The reason other solutions here work is because sometimes the filename of the driver will increment (it’s at PROCMON24.SYS right now). When you install an older or newer version, it might not used the locked up driver file and install its own instead (depending on the driver version). Restarting your computer also works because all running processes are shut down.
answered Jan 23 at 16:56
PlutoPluto
1213 bronze badges
I was not aware that Procmon.exe even needed a «PROCMON11.SYS». I’ve been running Process Monitor as a standalone executable just fine. I searched my C drive for a procmon11.sys and it does not exist. Maybe it is packaged with the executable?
Viruses often try to prevent software from running that might alert someone to its presence. It sounds like a virus might be aware that you are trying to start Process Monitor and giving you this obscure error message to throw you off track.
Try installing the free version of AVG… or try installing Spybot Search and Destroy. If I’m right… the installation or update of those programs will probably fail.
Check out this answer.
answered Nov 17, 2010 at 6:58
James TJames T
9,9114 gold badges28 silver badges30 bronze badges
2
Evidently, Procmon requires the Workstation service running in order to start. It uses that service to enumerate something and will silently die without it.
This is not documented anywhere and is pretty bogus.
Similar question on Server Fault: https://serverfault.com/a/755869/175310
answered Feb 12, 2016 at 17:48
Try running ProcMon as administrator (right-click ProcMon.exe and select «run as administrator»).
By default, it’ll pop the «Run as Administrator» dialog (probably triggered by trying to access a kernel-mode driver), but if you turned off UAC, you may not get that dialog, and th app would just fail in accessing the driver.
answered Nov 17, 2010 at 8:21
1
Around some point, Microsoft enabled a dual-signature policy (i.e., the program adds both sha1 and sha256 digital signatures for staging).
Then, as of Process Monitor 3.53, Microsoft removed the sha1 signature (only the sha256 signature was retained).
The default unpatched Win7 does not support sha2 signatures, so Process Monitor prompts for an error that does not load the driver (embedded driver file: procmon .sys).
So there are two workarounds (Win7):
a. Use of lower versions such as 3.52;
b. Update patches (KB3033929);
大概从某个时间开始,微软启用了双签名策略(即程序同时添加sha1和sha256数字签名,过渡用)。
然后,自 Process Monitor 3.53 起,微软删除了sha1签名(只保留sha256签名)。
而默认的未更新补丁的Win7并不支持sha2签名,所以Process Monitor会提示无法加载驱动(嵌入的驱动文件:procmon.sys)的错误。
所以有两种解决方法(Win7):
a.使用低版本如3.52;
b.更新补丁(KB3033929);
ps,防火墙实在太讨厌了,传个图片文件累死,不得不。。
另外,我没做粗体黑体啊,怎么样式去不掉的。
Win8.1
Win7 without patch
Win7 with patch
Я пытаюсь загрузить Process Monitor (Procmon.exe) из Sysinternals, и я получаю следующую ошибку при запуске.
Невозможно загрузить драйвер устройства Process Monitor
В окне просмотра событий я получаю следующее.
Драйвер PROCMON11.SYS заблокирован для загрузки.
Что мешает его загрузке?
Справочная информация: у меня нет установленного антивирусного или вредоносного программного обеспечения, кроме Защитника Windows (который я считаю частью Windows 7).
2010-11-17 06:24
5
ответов
Решение
Кажется, что большинство людей в сети, которые имели эту проблему, решили ее, установив более новую версию procmon или более старую версию, если у них была последняя.
2011-03-30 21:23
Действие, которое работало для меня, состояло в том, чтобы перезагрузить компьютер (выключить его в процессе, если это имеет значение).
Платформа:
- Windows XP SP2 Professional 64-разрядная.
- Process Monitor v3.03 (выпущен 2012-07-16).
- Ранее я использовал Process Monitor v2.03 (вероятно, дата выпуска 2008-12-10).
2012-08-18 12:47
Я не знал, что Procmon.exe даже нужен «PROCMON11.SYS». Я использую Process Monitor как отдельный исполняемый файл. Я искал свой диск C для procmon11.sys, и он не существует. Может быть, он упакован с исполняемым файлом?
Вирусы часто пытаются предотвратить запуск программного обеспечения, которое может предупредить кого-либо о его присутствии. Похоже, что вирус может знать, что вы пытаетесь запустить Process Monitor и выдает это неясное сообщение об ошибке, чтобы сбить вас с пути.
Попробуйте установить бесплатную версию AVG… или попробуйте установить Spybot Search and Destroy. Если я прав… установка или обновление этих программ, вероятно, не удастся.
Проверьте этот ответ.
James T
17 ноя ’10 в 06:58
2010-11-17 06:58
2010-11-17 06:58
Очевидно, Procmon требует, чтобы служба Workstation работала для запуска. Он использует этот сервис для перечисления чего-либо и безмолвно умрет без него.
Это нигде не задокументировано и является довольно поддельным.
Аналогичный вопрос о сбое сервера: https://serverfault.com/a/755869/175310
Rasz_pl
12 фев ’16 в 17:48
2016-02-12 17:48
2016-02-12 17:48
Попробуйте запустить ProcMon от имени администратора (щелкните правой кнопкой мыши ProcMon.exe и выберите «Запуск от имени администратора»).
По умолчанию откроется диалоговое окно «Запуск от имени администратора» (вероятно, вызванное попыткой доступа к драйверу режима ядра), но если вы отключите UAC, вы можете не получить этот диалог, и приложение просто не сможет получить доступ водитель.
2010-11-17 08:21