Sorry if this is wrong place to report issues, it’s just easier to report in GH and seems like tool bugs reported here before have been addressed.
To reproduce:
IE 8 Win7 VM (https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/) in Virtualbox
Procmon 3.61.0.0 (latest)
Download and run (I had to download Firefox from ftp.mozilla.org to even have a working browser to download procmon, you can try testing on IE11 VM for modern browser).
Unable to load Process Monitor Device Driver
Thanks,
Attempts to run the 64 bit version of procmon to observe a process’ activity results in the following error: Unable to load Process Monitor Device Driver. This has been mentioned in posts going back to 2008. There are several solutions noted as the root cause, not of which worked for me including:
- The Workstation service needs to be running (it is)
- Extract the 64 bit binary from the procmon.exe into it’s own binary procmon-64 (didn’t work)
- When on a 64 bit system, Procmon extracts a 64bit binary in the %TEMP% folder as Procmon64.exe and runs that. That part seems to be working.
- Login as Administrator and try it (didn’t work)
I checked Event Viewer->Security and saw that there was an Audit Error:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: \Device\HarddiskVolume2\Windows\System32/drivers/PROCMON23.SYS
So, PROCMON32.SYS was not being installed. After a lot of searching, I found this blog post that describes the actual root cause and how to resolve it. It involves Microsoft update KB3033929 which added support for SHA-2 certificate signing (in preparation of the likely SHA-1 vulnerabilities).
If the system gets regular updates, this update would already by applied. The system I’m using is not connected to the internet and cannot access a WSUS server so updates are not applied on a regular basis. This explains why procmon works on a similarly configugured system that coincidently had been updated recently.
After manually downloading and applying this update the process monitor was able to install the driver and run.
Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Программное обеспечение
- 02.08.2020
- 16 631
- 11
- 18
- 14
- 4
- Содержание статьи
- Описание
- Исправляем ошибку
- Комментарии к статье ( 11 шт )
- Добавить комментарий
Описание
Process Monitor (сокращенно Procmon.exe или Procmon64.exe) — очень популярная утилита, которая имеет огромное количество различных функций и очень помогает в процессе использования ОС Windows, но при ее запуске, может появляться вот такая вот ошибка:
Unable to load process monitor device driver
Если в этот момент посмотреть в просмотр событий, то увидим вот такую вот ошибку:
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\PROCMON24.SYS
На английском:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: \Device\HarddiskVolume2\Windows\System32\drivers\PROCMON24.SYS
Исправляем ошибку
Данная ошибка связана с тем, что в 64-битных версиях Windows майкрософт добавили проверку цифровой подписи и из-за этого, Windows не дает загружать необходимый драйвер, т.к. он не проходит проверку на валидность. Ошибка решается очень просто, путем установки обновления KB3033929, которое добавляет поддержку SHA-2 для проверки валидности сертификатов. Скачать данное обновление можно по следующей ссылке:
https://www.microsoft.com/ru-ru/download/details.aspx?id=46148
После того, как мы скачали Windows6.1-KB3033929-x64.msu, необходимо его запустить и дождаться окончания установки.
После окончания установки не забываем нажать кнопку «Перезагрузить сейчас«
Чтобы ошибка перестала выскакивать ОБЯЗАТЕЛЬНО необходимо перезагрузить компьютер после установки данного обновления.
После перезагрузки Process Monitor должен запускаться нормально, а ошибка исчезнуть.
Posted on by Steven Whiting
Normally a driver issue with the old version still being in memory if just replaced with the new Process Monitor. Reboot normally fixes it.