I am trying to load Process Monitor (Procmon.exe) from Sysinternals, and I get the following error on startup.
Unable to load Process Monitor device driver
In the Event Viewer, I get the following.
Driver PROCMON11.SYS has been blocked from loading.
What is blocking it from loading?
Background information: I have no anti-virus or malware checker software installed, other than Windows Defender (which I think is part of Windows 7).
asked Nov 17, 2010 at 6:24
AngryHackerAngryHacker
18.3k67 gold badges158 silver badges209 bronze badges
It seems that most people on the web who had this problem, solved it by installing a newer version of procmon, or an older version if their’s was the latest.
Hello71
8,4075 gold badges40 silver badges44 bronze badges
answered Mar 30, 2011 at 21:23
1
An action that worked for me was to restart the computer (powering it off in the process, if it matters).
Platform:
- Windows XP SP2 Professional 64-bit.
- Process Monitor v3.03 (released 2012-07-16).
- I had previously used Process Monitor v2.03 (likely release date 2008-12-10).
answered Aug 18, 2012 at 12:47
Peter MortensenPeter Mortensen
12.1k23 gold badges71 silver badges90 bronze badges
For me, the solution in this article solved my problem.
In one word, we need to install KB3033929.
answered Dec 27, 2020 at 13:22
0
If you ran it successfully before and are having issues now, then most common issue is the procmonXX.sys driver inside of C:\Windows\System32\drivers is locked up by another process, specifically a zombie process of Process Monitor. It probably failed to cleanly exit last time and just got stuck. The solution is to open task manager and kill Process Monitor to solve the issue.
If you want to find out if this is the case, delete that driver file (Process Monitor automatically re-installs it when it runs). If it denies access because it’s open in another process, that’s definitely the issue. If it deletes it successfully, then it may have been corrupt and the next time you run Process Monitor it’ll work by re-installing it.
The reason other solutions here work is because sometimes the filename of the driver will increment (it’s at PROCMON24.SYS right now). When you install an older or newer version, it might not used the locked up driver file and install its own instead (depending on the driver version). Restarting your computer also works because all running processes are shut down.
answered Jan 23 at 16:56
PlutoPluto
1313 bronze badges
Here’s a link for the older version:
https://web.archive.org/web/20190220013755/https://download.sysinternals.com/files/ProcessMonitor.zip
answered Sep 22, 2022 at 20:31
I was not aware that Procmon.exe even needed a «PROCMON11.SYS». I’ve been running Process Monitor as a standalone executable just fine. I searched my C drive for a procmon11.sys and it does not exist. Maybe it is packaged with the executable?
Viruses often try to prevent software from running that might alert someone to its presence. It sounds like a virus might be aware that you are trying to start Process Monitor and giving you this obscure error message to throw you off track.
Try installing the free version of AVG… or try installing Spybot Search and Destroy. If I’m right… the installation or update of those programs will probably fail.
Check out this answer.
answered Nov 17, 2010 at 6:58
James TJames T
9,9614 gold badges28 silver badges30 bronze badges
2
Evidently, Procmon requires the Workstation service running in order to start. It uses that service to enumerate something and will silently die without it.
This is not documented anywhere and is pretty bogus.
Similar question on Server Fault: https://serverfault.com/a/755869/175310
answered Feb 12, 2016 at 17:48
Try running ProcMon as administrator (right-click ProcMon.exe and select «run as administrator»).
By default, it’ll pop the «Run as Administrator» dialog (probably triggered by trying to access a kernel-mode driver), but if you turned off UAC, you may not get that dialog, and th app would just fail in accessing the driver.
answered Nov 17, 2010 at 8:21
1
You must log in to answer this question.
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.
Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Программное обеспечение
- 02.08.2020
- 12 302
- 10
- 16
- 12
- 4
- Содержание статьи
- Описание
- Исправляем ошибку
- Комментарии к статье ( 10 шт )
- Добавить комментарий
Описание
Process Monitor (сокращенно Procmon.exe или Procmon64.exe) — очень популярная утилита, которая имеет огромное количество различных функций и очень помогает в процессе использования ОС Windows, но при ее запуске, может появляться вот такая вот ошибка:
Unable to load process monitor device driver
Если в этот момент посмотреть в просмотр событий, то увидим вот такую вот ошибку:
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: \Device\HarddiskVolume2\Windows\System32\drivers\PROCMON24.SYS
На английском:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: \Device\HarddiskVolume2\Windows\System32\drivers\PROCMON24.SYS
Исправляем ошибку
Данная ошибка связана с тем, что в 64-битных версиях Windows майкрософт добавили проверку цифровой подписи и из-за этого, Windows не дает загружать необходимый драйвер, т.к. он не проходит проверку на валидность. Ошибка решается очень просто, путем установки обновления KB3033929, которое добавляет поддержку SHA-2 для проверки валидности сертификатов. Скачать данное обновление можно по следующей ссылке:
https://www.microsoft.com/ru-ru/download/details.aspx?id=46148
После того, как мы скачали Windows6.1-KB3033929-x64.msu, необходимо его запустить и дождаться окончания установки.
После окончания установки не забываем нажать кнопку «Перезагрузить сейчас«
Чтобы ошибка перестала выскакивать ОБЯЗАТЕЛЬНО необходимо перезагрузить компьютер после установки данного обновления.
После перезагрузки Process Monitor должен запускаться нормально, а ошибка исчезнуть.
I am trying to load Process Monitor (Procmon.exe) from Sysinternals, and I get the following error on startup.
Unable to load Process Monitor device driver
In the Event Viewer, I get the following.
Driver PROCMON11.SYS has been blocked from loading.
What is blocking it from loading?
Background information: I have no anti-virus or malware checker software installed, other than Windows Defender (which I think is part of Windows 7).
asked Nov 17, 2010 at 6:24
AngryHackerAngryHacker
18.3k67 gold badges158 silver badges209 bronze badges
It seems that most people on the web who had this problem, solved it by installing a newer version of procmon, or an older version if their’s was the latest.
Hello71
8,4075 gold badges40 silver badges44 bronze badges
answered Mar 30, 2011 at 21:23
1
An action that worked for me was to restart the computer (powering it off in the process, if it matters).
Platform:
- Windows XP SP2 Professional 64-bit.
- Process Monitor v3.03 (released 2012-07-16).
- I had previously used Process Monitor v2.03 (likely release date 2008-12-10).
answered Aug 18, 2012 at 12:47
Peter MortensenPeter Mortensen
12.1k23 gold badges71 silver badges90 bronze badges
For me, the solution in this article solved my problem.
In one word, we need to install KB3033929.
answered Dec 27, 2020 at 13:22
0
If you ran it successfully before and are having issues now, then most common issue is the procmonXX.sys driver inside of C:\Windows\System32\drivers is locked up by another process, specifically a zombie process of Process Monitor. It probably failed to cleanly exit last time and just got stuck. The solution is to open task manager and kill Process Monitor to solve the issue.
If you want to find out if this is the case, delete that driver file (Process Monitor automatically re-installs it when it runs). If it denies access because it’s open in another process, that’s definitely the issue. If it deletes it successfully, then it may have been corrupt and the next time you run Process Monitor it’ll work by re-installing it.
The reason other solutions here work is because sometimes the filename of the driver will increment (it’s at PROCMON24.SYS right now). When you install an older or newer version, it might not used the locked up driver file and install its own instead (depending on the driver version). Restarting your computer also works because all running processes are shut down.
answered Jan 23 at 16:56
PlutoPluto
1313 bronze badges
Here’s a link for the older version:
https://web.archive.org/web/20190220013755/https://download.sysinternals.com/files/ProcessMonitor.zip
answered Sep 22, 2022 at 20:31
I was not aware that Procmon.exe even needed a «PROCMON11.SYS». I’ve been running Process Monitor as a standalone executable just fine. I searched my C drive for a procmon11.sys and it does not exist. Maybe it is packaged with the executable?
Viruses often try to prevent software from running that might alert someone to its presence. It sounds like a virus might be aware that you are trying to start Process Monitor and giving you this obscure error message to throw you off track.
Try installing the free version of AVG… or try installing Spybot Search and Destroy. If I’m right… the installation or update of those programs will probably fail.
Check out this answer.
answered Nov 17, 2010 at 6:58
James TJames T
9,9614 gold badges28 silver badges30 bronze badges
2
Evidently, Procmon requires the Workstation service running in order to start. It uses that service to enumerate something and will silently die without it.
This is not documented anywhere and is pretty bogus.
Similar question on Server Fault: https://serverfault.com/a/755869/175310
answered Feb 12, 2016 at 17:48
Try running ProcMon as administrator (right-click ProcMon.exe and select «run as administrator»).
By default, it’ll pop the «Run as Administrator» dialog (probably triggered by trying to access a kernel-mode driver), but if you turned off UAC, you may not get that dialog, and th app would just fail in accessing the driver.
answered Nov 17, 2010 at 8:21
1
You must log in to answer this question.
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.
Attempts to run the 64 bit version of procmon to observe a process’ activity results in the following error: Unable to load Process Monitor Device Driver. This has been mentioned in posts going back to 2008. There are several solutions noted as the root cause, not of which worked for me including:
- The Workstation service needs to be running (it is)
- Extract the 64 bit binary from the procmon.exe into it’s own binary procmon-64 (didn’t work)
- When on a 64 bit system, Procmon extracts a 64bit binary in the %TEMP% folder as Procmon64.exe and runs that. That part seems to be working.
- Login as Administrator and try it (didn’t work)
I checked Event Viewer->Security and saw that there was an Audit Error:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: \Device\HarddiskVolume2\Windows\System32/drivers/PROCMON23.SYS
So, PROCMON32.SYS was not being installed. After a lot of searching, I found this blog post that describes the actual root cause and how to resolve it. It involves Microsoft update KB3033929 which added support for SHA-2 certificate signing (in preparation of the likely SHA-1 vulnerabilities).
If the system gets regular updates, this update would already by applied. The system I’m using is not connected to the internet and cannot access a WSUS server so updates are not applied on a regular basis. This explains why procmon works on a similarly configugured system that coincidently had been updated recently.
After manually downloading and applying this update the process monitor was able to install the driver and run.
Содержание
- Unable to load process monitor device driver windows 7
- Описание
- Исправляем ошибку
- rspydir
- [Solved] Unable to load process monitor device driver
- Unable to load process monitor device driver windows 7
- Как это работает
- Интерфейс
- Панель инструментов
- Горячие клавиши
- Фильтрация событий
- Фильтрация по классу
- Меню Filter
- Быстрый фильтр
- Фильтрация по владельцу окна
- Подсветка событий
- Поиск по событиям
- Детали событий
- Изучение события
- Сценарии использования
- Диагностика этапа загрузки
Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.
Process Monitor программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Эта утилита объединяет в себе возможности программ Filemon (мониторинг файловой системы) и Regmon (мониторинг реестра), но при этом Process Monitor обладает более широкими возможностями. В утилите доступен просмотр всех загруженных библиотек и внутренних kernel-драйверов различных устройств, вывод детальной информации о каждом процессе (полный путь к файлу, ID сессии, имя пользователя). Мощная система ведения логов позволяет обрабатывать десятки миллионов различных параметров процессов, происходящих в системе, и сохранять в лог-файл до одного гигабайта данных. Богатые возможности Process Monitor позволяют решать различные проблемы в работе системы и программ, а также самостоятельно излечивать систему от вирусов и следов их активности.
Источник
Описание
Unable to load process monitor device driver
Если в этот момент посмотреть в просмотр событий, то увидим вот такую вот ошибку:
Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден после его несанкционированного изменения, или недопустимый хэш может указывать на потенциальную ошибку дискового устройства.
Имя файла: DeviceHarddiskVolume2WindowsSystem32driversPROCMON24.SYS
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: DeviceHarddiskVolume2WindowsSystem32driversPROCMON24.SYS
Исправляем ошибку
Данная ошибка связана с тем, что в 64-битных версиях Windows майкрософт добавили проверку цифровой подписи и из-за этого, Windows не дает загружать необходимый драйвер, т.к. он не проходит проверку на валидность. Ошибка решается очень просто, путем установки обновления KB3033929, которое добавляет поддержку SHA-2 для проверки валидности сертификатов. Скачать данное обновление можно по следующей ссылке:
https://www.microsoft.com/ru-ru/download/details.aspx?id=46148
После того, как мы скачали Windows6.1-KB3033929-x64.msu, необходимо его запустить и дождаться окончания установки.
После окончания установки не забываем нажать кнопку «Перезагрузить сейчас»
После перезагрузки Process Monitor должен запускаться нормально, а ошибка исчезнуть.
Источник
rspydir
[Solved] Unable to load process monitor device driver
Attempts to run the 64 bit version of procmon to observe a process’ activity results in the following error: Unable to load Process Monitor Device Driver. This has been mentioned in posts going back to 2008. There are several solutions noted as the root cause, not of which worked for me including:
I checked Event Viewer->Security and saw that there was an Audit Error:
Code integrity determined that the image hash of a file is not valid. The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error
Filename: DeviceHarddiskVolume2WindowsSystem32/drivers/PROCMON23.SYS
So, PROCMON32.SYS was not being installed. After a lot of searching, I found this blog post that describes the actual root cause and how to resolve it. It involves Microsoft update KB3033929 which added support for SHA-2 certificate signing (in preparation of the likely SHA-1 vulnerabilities).
If the system gets regular updates, this update would already by applied. The system I’m using is not connected to the internet and cannot access a WSUS server so updates are not applied on a regular basis. This explains why procmon works on a similarly configugured system that coincidently had been updated recently.
After manually downloading and applying this update the process monitor was able to install the driver and run.
Источник
Unable to load process monitor device driver windows 7
Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.
Process Monitor программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Эта утилита объединяет в себе возможности программ Filemon (мониторинг файловой системы) и Regmon (мониторинг реестра), но при этом Process Monitor обладает более широкими возможностями. В утилите доступен просмотр всех загруженных библиотек и внутренних kernel-драйверов различных устройств, вывод детальной информации о каждом процессе (полный путь к файлу, ID сессии, имя пользователя). Мощная система ведения логов позволяет обрабатывать десятки миллионов различных параметров процессов, происходящих в системе, и сохранять в лог-файл до одного гигабайта данных. Богатые возможности Process Monitor позволяют решать различные проблемы в работе системы и программ, а также самостоятельно излечивать систему от вирусов и следов их активности.
Источник
По программе Process Monitor дано уже довольно-таки много материала, да и изучение основ функционирования утилиты всегда было доступно даже для неподготовленного пользователя. Но все же, я лично не совсем понимал многие аспекты работы (а некоторые не понимаю до сих пор :), поэтому и решил набросать очередную заметку по поводу данной, весьма полезной утилиты, дабы впоследствии можно было использовать статью как своего рода подсказку. Если рассматривать любую операционную систему с точки зрения обобщения, то можно условно дифференцировать её на блоки кода/данных, которые взаимодействуют между собой на основе определенных закономерностей. Чтобы приблизиться к привычным нам терминам, будем считать упомянутый блок процессом, объединяющим в себе и код и данные, предназначающимся для решения определенной задачи. Таким образом, взаимодействие между подобными процессами и составляет (за некоторым исключением) понятие функционирования операционной системы. Во время работы операционной системы, в ней выполняется большое количество процессов и назначение любого из этих процессов может варьироваться в достаточно широком диапазоне.
На ум сразу приходят основные, наиболее вероятные сценарии применения Process Monitor:
Как это работает
Похоже, через этот драйвер-фильтр проходят все события, отслеживаемые Process Monitor. В дополнение к этому, Process Monitor использует технологию Трассировки событий (ETW, Event Tracing for Windows), как минимум для наблюдения за событиями сетевой активности. Не совсем пока ясно, тот же драйвер используется в качестве контроллера и получателя для ETW или же сам исполняемый модуль? Напомню, что ETW это своеобразная расширяемая система журналирования, встроенная в систему Windows, реализованная на уровне ядра и позволяющая (по запросу) собирать события от приложений пользовательского режима и модулей режима ядра. А как мы знаем, практически во все компоненты операционной системы включена возможность отслеживания выполняемых операций. Понятное дело, что функционал ETW значительно шире, он предоставляет обширнейшую информацию по функционированию: переключение контекста, статистика по прерываниям, отложенные вызовы процедур (DPC), процедуры обработки прерываний (ISR), создание и уничтожение процессов и потоков, дисковый ввод-вывод, ошибки страниц, переходы процессора между режимами в рабочем состоянии (p-state), операции с реестром, и многое другое.
Интерфейс
Перед запуском неплохо было бы получить исполняемый модуль утилиты. Скачать Process Monitor можно отсюда. Утилита распространяется в виде портабельного приложения и не требует инсталляции, а просто может быть извлечена из архивного файла в произвольную директорию, что крайне полезно при диагностировании с переносных носителей и при интегрировании в среду предустановки (WinPE).
В случае запуска Process Monitor с установленными в предыдущих сеансах работы фильтрами, программа открывает окно настройки фильтров (Filter). Делается это для того, чтобы пользователь смог, при желании, модифицировать фильтры перед началом процедуры сбора данных.
Интерфейс программы Process Monitor чрезвычайно прост и по умолчанию выглядит следующим образом:
Согласитесь, всё гениальное действительно просто. Простота интерфейса обуславливает интуитивность восприятия происходящего в системе. Непосредственно после запуска Process Monitor сразу же начинает захватывать события, происходящие в операционной системе, производится мониторинг основных компонентов, таких как: файловая система, реестр, сеть, активность процессов/потоков. После захвата события, не попавшие под фильтр, выводятся в хронологическом порядке в главное окно приложения. Причем пользователь наблюдает такое огромное количество данных, которое просто по первости может запросто обескуражить, вся эта тонна данных мгновенно переполняет основное окно программы и устремляется за её пределы, о чем красноречиво говорит стремительно уменьшающийся боковой ползунок прокрутки. Каждая выводимая таким образом строка представляет собой событие, произошедшее в системе, видимое и захваченное драйвером Process Monitor и не попавшее под правила фильтрации. Основной массив информации отформатирован в виде таблицы, соответственно каждая строка поделена на некоторое количество столбцов, состав и расположение которых может быть изменен через настройки программы. В конфигурации по-умолчанию используются следующие столбцы:
| Столбец | Наименование | Обозначение |
|---|---|---|
| 1 | Time of Day | Время возникновения события. Отображается в долях секунд в формате ЧЧ:ММ:СС,ССССССС с точностью в семь десятичных знаков после запятой. Точность выводимого временного значения зависит от точности используемого в компьютере аппаратного таймера (8254/RTC/HPET). |
| 2 | Process Name | Имя процесса. Колонка отображает имя процесса, который выполнил операцию. Выводится только лишь имя процесса, однако если вы наведете курсор мыши на интересующее имя, дополнительно отобразиться и полный путь к модулю. В колонке отображается иконка (значок) приложения, запакованная в ресурсной секции бинарного файла. |
| 3 | PID | Идентификатор процесса. Довольно полезный параметр, особенно для «комплексных» процессов, таких как svchost.exe. |
| 4 | Operation | Операция. Имя зафиксированной низкоуровневой операции, производимой процессом по отношению к целевому объекту. Обычно данное имя соответствует имени функции, которая вызывается для выполнения операции. Дополнительно отображается иконка класса события (регистр, файл, сеть, процесс). |
| 5 | Path | Путь к целевому объекту, по отношению к которому процесс выполняет операцию. Не путайте с путем к процессу (модулю). Выводится только в том случае, если путь применим к объекту. Возможные значения: |
Поле результата операции (Result) является одним из ключевых и требует дополнительного пояснения:
Панель инструментов
Поясним назначение кнопок, размещенных на панели инструментов интерфейса утилиты Process Monitor:
Горячие клавиши
| Комбинация | Описание |
|---|---|
| Ctrl + E | активация/останов записи событий. |
| Ctrl + X | очистка журнала захваченных событий. |
| Ctrl + A | включение/отключение автопрокрутки событий. |
| Ctrl + F | поиск события среди всех захваченных событий. |
| Ctrl + C | копирование выделенного события в виде строки текста с разделителями. |
| Ctrl + J | перейти к выделенному объекту. |
| Ctrl + L | открытие окна настройки фильтров. |
| Ctrl + R | сброс фильтра в настройки по умолчанию. |
| Ctrl + H | открытие окна подсветки. |
| Ctrl + T | открытие дерева процессов. |
Фильтрация событий
Как уже отмечалось, количество событий, происходящих (генерируемых различными компонентами) в системе, довольно велико. Число событий, которые «видит» Process Monitor меньше, но не намного. Возникает резонный вопрос, а все ли события нам необходимы? Ответ очевиден. Большинство событий, которые отображаются в главном окне программы совершенно излишни в контексте тех или иных узкоспециализированных пользовательских задач. Ну не нужно пользователю видеть события загрузки образа внезапно стартовавшей программы обновления, в то время как он занят изучением ключей реестра, хранящих конфигурацию интересующей его программы. Именно с целью скрыть ненужные события, у Process Monitor имеются гибкие и мощные средства фильтрации. Фильтр позволяет скрывать лишние события, тем самым ограничивая количество отображаемых элементов и сужая область поиска проблемы.
Поскольку фильтрация является одним из ключевых элементов Procmon, возможности её в данной программе очень хорошо проработаны. Фильтровать события можно используя любые доступные программе атрибуты событий. Отфильтровывать события в Process Monitor можно несколькими способами:
Фильтрация по классу
Это самая общая, можно сказать грубая фильтрация событий, позволяющая исключить из вывода сразу целый класс событий: реестр, файловая система, сеть, активность процессов/потоков, события профилирования. Настройка фильтрации по классу событий представлена пятью кнопками в правой части панели инструментов:
Соответственно, в тот момент, когда какая-либо из перечисленных кнопок класса деактивируется (отжимается) пользователем на панели команд, в общий набор фильтров добавляется соответствующий фильтр с предписанием Exclude (Исключить), скрывающий из вывода все события данного класса.
Меню Filter
Какие бы из типов фильтров не применялись в Process Monitor, все они доступны через меню Filter и подпункт Filter. Это полный (общий) набор параметров фильтрации и представлен он в следующем виде:
Быстрый фильтр
Можно применить так называемый «быстрый фильтр» для некоторых параметров событий, отображаемых в главном окне. Активируется он нажатием правой кнопки мыши на событии в главном окне программы:
Фильтрация по владельцу окна
В дополнение к основным вариантам фильтрации, в утилите Procmon имеется возможность отфильтровать события по описателю (идентификатору) окна приложения. Это достаточно удобная функциональная особенность, поскольку она предоставляет пользователю возможность посмотреть события процесса, окно которого появляется на рабочем столе. Для задействования данного функционала на панели инструментов найдите значок прицела:
Перетащите его на интересующее Вас окно и Procmon создаст соответствующий фильтр на процесс, являющееся владельцем выбранного окна, соответственно изменив вывод в главном окне.
Подсветка событий
В дополнение к фильтрам, в Procmon присутствует возможность маркировать события, выделяя их цветом. Тогда как фильтрация скрывает лишние события из вывода, то подсветка просто-напросто выделяет необходимые события в списке. Напрямую, вроде как, не относится к фильтрам, поскольку не скрывает события, а всего-лишь маркирует их другим цветом в списке. Вызвать окно настройки подсветки Process Monitor можно либо нажатием комбинации клавиш Ctrl + H или щелчком по соответствующему значку на панели задач. Выглядит оно следующим образом:
Как Вы видите, оно идентично окну настройки фильтров, за исключением того, что по умолчанию не имеет никаких установок, то есть подсветка полностью отключена. Алгоритм настройки параметров подсветки и выборки результатов окна Highlighting во многом схожи с аналогичными в окне Filter.
Поиск по событиям
Будет отображено уже знакомое по другим продуктам Microsoft окно поиска. Поиск осуществляется по значениям всех без исключения полей вывода главного окна Process Monitor и при обнаружении первого попавшегося совпадения, утилита пролистывает экран до найденного значения и маркирует целиком всю строку с обнаруженным ключевым фрагментом синим цветом.
Детали событий
Process Monitor получает от различных компонентов операционной системы достаточно большое количество дополнительной информации. Все они отображаются в столбце Detail. Большинство из них чисто информативные, поэтому обычно пропускаются при анализе. Тут можно встретить запрашиваемый уровень доступа для операции, подробности запросов функций, дополнительные параметры некоторых функций, имена пакетов драйверов и прочее
Изучение события
Вся информация, коллекционируемая утилитой Process Monitor в процессе записи событий, представляется в виде огромной таблицы, каждая строка которой отражает лишь обобщенное описание определенного произошедшего события. Ну и что, как Вы думаете, достаточно ли этой информации, представленной в главном экране утилиты в виде ограниченных сведений, разнесенных на несколько колонок? Иногда да, но зачастую и нет! Надо отдать должное авторам Process Monitor’a за то, что они предусмотрели логику более детального исследования записываемых событий. Давайте выполним двойной щелчок на строке события, и посмотрим что же произойдет? После выполнения двойного щелчка открывается отдельное окно, имеющее следующий вид:
Во вкладке Event (Событие), мы видим общую информацию об интересующем нас событии. В общем то, именно эта вкладка не представляет для исследователя большой ценности, поскольку содержит информацию, которую можно получить в интерфейсе утилиты другими способами. Но вот две оставшиеся вкладки окна определенно могут нас заинтересовать. Средняя вкладка называется Process (Процесс) и выглядит следующим образом:
Тут мы видим путь к модулю (Path), командную строку, с использованием которой был запущен модуль (Command Line), пользователя, с привилегиями которого процесс был запущен (User), идентификатор сессии входа в систему (Auth ID), в которой процесс, хозяин операции, выполняется, и уровень целостности (Integrity), присвоенный процессу, хозяину операции, при запуске. Отдельного внимания удостаивается информационное окно со списком библиотек, загруженных в адресное пространство процесса (Modules), которое сильно способствует выявлять непрошенных гостей в виде различного рода вредоносов. Но для продвинутых исследователей настоящей ценностью является последняя, самая правая вкладка Stack (Стек), которая позволяет увидеть стек вызовов основного потока процесса:
Как мы видим, в этой вкладке можно обнаружить хорошо знакомую нам по отладчику WinDbg, классическую цепочку вызовов функций, называемую стеком вызовов. Во-первых, она позволяет отследить последовательность вызовов функций с момента начала выполнения стартовой функции потока. Во-вторых, по последовательности вызовов функций можно определить к каким модулям (библиотекам) эти функции принадлежат, тем самым выявив и системные компоненты, которые либо требуют обновления, либо вообще не должны применяться в данном модуле (например: вирусы).
Сценарии использования
Некоторые замечания по статусам программы Process Monitor:
Диагностика этапа загрузки
В дополнение к активации механизма, Procmon предлагает включить профилирование потоков через равные промежутки времени. Это немаловажно, потому что в большинстве случаев проблемы загрузки связаны с медленной работой определенных процессов. Именно с целью отследить подобные «тормозящие» процессы включается профилирование, которое позволяет создавать эдакие снимки активности потоков внутри процесса (стек вызовов и прочие данные) через равные промежутки времени. В итоге, записываемая информация помогает понять на какие именно операции поток тратит процессорное время.
После включения опции Enable Boot Logging можно перезагружать операционную систему. После завершения загрузки запускаем утилиту Process Monitor для сохранения лог-файлов процесса загрузки и видим следующее диалоговое окно:
Источник