Tenho um programa que detecta que estou rodando procmon.exe e depois de pesquisar bastante encontrei esta solução:
O nome do dispositivo PM é 'PROCMON10' Você pode vê-lo se executar o Gerenciador de dispositivos a partir do console (cmd.exe) como este conjunto devmgr_show_nonpresent_devices=1 devmgmt.msc Habilite na opção Exibir 'mostrar todos os dispositivos' e abra o nó não plug&play. Lá você pode ver o PROCMON10. No entanto, você não pode fazer muito com isso. Excluí-lo não o descarrega e não evita que você reinicie.
Como solução alternativa, basta renomeá-lo para 'BROCMON10'. Então agora o Winlicense/Themida não vai mais reclamar disso. Como renomear PROCMON10 para BROCMON10? Abra Procmon.exe em um Hexeditor (usei winhex) e abra a caixa de diálogo String Search&Replace. Procure por: "PROCMON" Substitua por: "BROCMON" Opções: Cuidado com o caso, Pesquisar e substituir string Unicode. Salvar e pronto.
Hmm, alterar a linha do título de "Process Monitor" para "Brocess Monitor" contornará completamente o algoritmo de detecção do Themida e permitirá monitorá-lo com PM. No entanto, não recomendo fazer isso, pois pode ser ilegal. Ai
https://forum.sysinternals.com/process-monitor-themida-tweakvi-clash_topic15130.html
Estou tentando renomear o nome do driver de PROCMON23 para BROCMON23. Na nova versão do procmon é PROCMON23 em vez de PROCMON10, e depois de fazer uma pesquisa e substituir usando um editor hexadecimal, o arquivo exe não funciona mais e me dá este erro:
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
Como posso resolver o problema?