Ich habe ein Programm, das erkennt, dass ich procmon.exe ausführe, und nach langem Suchen habe ich diese Lösung gefunden:
Der Gerätename von PM ist „PROCMON10“. Sie können es sehen, wenn Sie den Geräte-Manager von der Konsole (cmd.exe) aus starten, und zwar folgendermaßen: set devmgr_show_nonpresent_devices=1 devmgmt.msc Aktivieren Sie in der Ansicht die Option „Alle Geräte anzeigen“ und öffnen Sie dann den Nicht-Plug&Play-Knoten. Dort können Sie PROCMON10 sehen. Sie können damit jedoch nicht viel anfangen. Das Löschen entlädt es nicht und bewahrt Sie nicht vor einem Neustart.
Als Workaround kann man es einfach in „BROCMON10“ umbenennen. Winlicense/Themida wird sich jetzt also nicht mehr darüber beschweren. Wie benenne ich PROCMON10 in BROCMON10 um? Öffnen Sie Procmon.exe in einem Hexeditor (ich habe WinHex verwendet) und öffnen Sie das Dialogfeld „String Suchen und Ersetzen“. Suchen Sie nach: „PROCMON“. Ersetzen Sie es durch: „BROCMON“. Optionen: Auf Groß-/Kleinschreibung achten, Unicode-String suchen und ersetzen. Speichern und Fertig.
Hmm, wenn man die Titelzeile von „Process Monitor“ in „Brocess Monitor“ ändert, wird der Erkennungsalgorithmus von Themida vollständig umgangen und es kann per PM überwacht werden. Ich empfehle dies jedoch nicht, da es illegal sein könnte. Autsch
https://forum.sysinternals.com/process-monitor-themida-tweakvi-clash_topic15130.html
Ich versuche, den Treibernamen von PROCMON23 in BROCMON23 umzubenennen. In der neuen Version von Procmon heißt er PROCMON23 statt PROCMON10, und nachdem ich mit einem Hex-Editor gesucht und ersetzt habe, wird die EXE-Datei nicht mehr ausgeführt und gibt mir diesen Fehler aus:
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
Wie kann ich das Problem lösen?