a veces usoMonitor de procesopara depurar software y también para jugar juegos en línea. Algunos de estos juegos utilizanojo de batallasoftware anti-trampas, que se niega a permitir que el juego se ejecute después de que Process Monitor se haya iniciado en el sistema, y muestra esto en el registro:
08:06:46: Starting BattlEye Service...
08:06:49: Launching game...
08:07:07: Disallowed driver: "\??\C:\Windows\system32\Drivers\PROCMON23.SYS". Please unload it or reboot your system.
El controlador permanece cargado después de cerrar Process Monitor y no parece haber una opción para descargarlo.
Varias otras preguntas tienen respuestas sobre la descarga de controladores usando net stopo sc stop, pero el controlador ProcMon no es un servicio, por lo que no funciona. También intenté buscar en el Administrador de dispositivos y habilitar "Mostrar dispositivos ocultos", pero ninguna de las entradas aparece relacionada con ProcMon. No puedo eliminar el archivo del controlador porque en realidad no está presente en el sistema de archivos; ProcMon almacena el archivo en su ejecutable y lo extrae según sea necesario.
Mi pregunta no es un duplicado deesta pregunta, que trata sobre un problema similar en el que el controlador persiste después de reiniciar. Mi pregunta es sobre descargar el controlador sin reiniciar.
Respuesta1
Controladores estándarsonservicios y de hecho puedes controlarlos a través de nety sc. (Por ejemplo, eche un vistazo a sc query beep: detener el controlador de 'bip' es una forma común de apagar el altavoz interno de la PC).
En versiones anteriores de Process Monitor (probablemente anteriores a la 2.3, cuando todavía era compatible con Windows XP), instalaba un controlador de dispositivo "heredado" queeravisible a través de sc, Administrador de dispositivos, etc.
Las versiones actuales de Process Monitor parecen eliminar la configuración del controlador/servicio del registro inmediatamente después de iniciar el controlador. Puedes ver esto pormonitoreando ProcMon consigo mismo. Es posible volver a agregar manualmente el servicio, con el tipo 2 (controlador FS del kernel) e inmediatamente aparecerá como si ya se estuviera ejecutando.
Sin embargo, el servicio también informará "NOT_STOPPABLE" y rechazará cualquier intento de detenerlo.
Además, PROCMON23 ahora se registra como unminifiltro del sistema de archivoscontrolador a través del Administrador de filtros (FltDrv). Puede verlo en el resultado de fltmc, pero al intentar descargarlo externamente también falla (posiblemente porque el controlador no tiene la rutina de descarga):
C:\WINDOWS\system32>fltmc Nombre del filtro Núm. Instancias Marco de altitud ------------------------------ ------------- ------- ----- ----- PROCMON23 0 385200 0 Filtro Wd 4 328010 0 almacenamiento 0 244000 0 wcifs 1 189900 0 ... C:\WINDOWS\system32>fltmc descargar PROCMON23 La descarga falló con el error: 0x801f0010 No retire el filtro del volumen en este momento.
Dado que la herramienta CLI "oficial" no puede eliminar el filtro de FltMgr y FltMgrsí mismoes un controlador 'crítico' que no se puede reiniciar sin reiniciar, parecería que no hay manera de descargar PROCMON23 o PROCMON24.
Pero la parte más interesante: después de realizar las comprobaciones anteriores con procmon 3.40, encontré que la última versión en el sitio web es 3.50 (que utiliza un controlador PROCMON24 más nuevo). Al iniciar la nueva versión, se me informó que ya había una versión anterior del controlador en el sistema y que debía reiniciar.
Entonces si ProcMonsí mismono puede descargar su propio controlador sin necesidad de reiniciarlo, creo que puedes asumir con seguridad que tampoco podrás descargarlo.
Respuesta2
Además de unexcelente respuestaporusuario1686lo cual concluye que no hay forma de descargarlo, me gustaría agregar que el reinicio normal en Windows 10 tampoco ayuda, porque hoy en día Windows 10 conserva algo de memoria y la recarga al arrancar, por lo que el controlador termina en la memoria incluso después de reiniciar.
Para evitar eso, reinicie con este comando ejecutado como administrador:
shutdown /r /f /t 0
que realizará un reinicio adecuado. Verifique ejecutando fltmccomo administrador que el controlador ya no esté allí.
Respuesta3
PROCMON23.SYSProcMon instala el controlador de filtro problemático cuando se ejecuta. Si el archivo
C:\Windows\system32\Drivers\PROCMON23.SYS
no existe en ese momento, ProcMon lo escribirá. El PROCMON23.SYSarchivo en sí se incluye como un recurso binario dentro del ejecutable de ProcMon.
Puede enumerar todos los controladores de filtro en ejecución de la siguiente manera:
fltmc filters
y en mi computadora esto da:
Como puede ver, mi versión de Process Monitor es más nueva que la suya (24 en lugar de 23).
Por lo general, un controlador de filtro se puede desinstalar mediante un comando como:
Fltmc unload PROCMON24
Sin embargo, en este caso esto proporciona un símbolo del sistema elevado:
El error de descarga 0x801f0010 es el error típico de un controlador de minifiltro que no tiene una rutina de descarga.
Conclusión: PROCMON23.SYS y el posterior PROCMON24.SYS están mal programados. El desarrollador no ha previsto que alguien quiera descargar su controlador y no ha incluido en él la rutina necesaria. Por lo tanto, este controlador no se puede descargar.
La mala noticia para usted es que es necesario reiniciar para eliminarlo; nada más funcionará. Su único recurso es presentar una queja al desarrollador.
Respuesta4
Parecería que se conecta al kernel, que en cierto modo necesita (el kernel) para evitar que se reinicie por otras razones (PC averiada).
Esto explicaría por qué tienes que reiniciar... es la única forma en que se desconectará del kernel.