procmon.exe を実行していることを検出するプログラムがあり、いろいろ検索した結果、次の解決策を見つけました。
PM のデバイス名は「PROCMON10」です。コンソール (cmd.exe) からデバイス マネージャーを実行すると、次のように表示されます。set devmgr_show_nonpresent_devices=1 devmgmt.msc 表示オプションで「すべてのデバイスを表示」を有効にし、プラグ アンド プレイ以外のノードを開きます。そこで PROCMON10 を確認できます。ただし、これを使用してできることはあまりありません。削除してもアンロードされず、再起動から保護されません。
回避策としては、名前を「BROCMON10」に変更するだけです。これで、Winlicense/Themida はこれについて文句を言わなくなります。PROCMON10 の名前を BROCMON10 に変更するには? 16 進エディター (winhex を使用) で Procmon.exe を開き、文字列の検索と置換ダイアログを開きます。検索: 「PROCMON」 置換: 「BROCMON」 オプション: 大文字と小文字を区別、Unicode 文字列の検索と置換。保存して完了。
うーん、「プロセス モニター」のタイトル行を「プロセス モニター」に変更すると、Themida の検出アルゴリズムを完全に回避して、PM で監視できるようになります。ただし、違法になる可能性があるため、これを行うことはお勧めしません。痛い
https://forum.sysinternals.com/process-monitor-themida-tweakvi-clash_topic15130.html
ドライバー名を PROCMON23 から BROCMON23 に変更しようとしています。新しいバージョンの procmon では PROCMON10 ではなく PROCMON23 になっていますが、16 進エディターを使用して検索と置換を実行した後、exe ファイルが実行されなくなり、次のエラーが表示されます。
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
どうすればこの問題を解決できますか?