У меня есть программа, которая определяет, что я запускаю procmon.exe, и после долгих поисков я нашел это решение:
Имя устройства PM — «PROCMON10». Вы можете увидеть его, если запустите диспетчер устройств из консоли (cmd.exe) следующим образом: set devmgr_show_nonpresent_devices=1 devmgmt.msc Включите в опции «Вид» «Показать все устройства», а затем откройте узел non-plug&play. Там вы увидите PROCMON10. Однако вы ничего не сможете с ним сделать. Удаление его не выгружает его и не избавит вас от перезагрузки.
В качестве обходного пути просто переименуйте его в «BROCMON10». Теперь Winlicense/Themida больше не будет жаловаться на это. Как переименовать PROCMON10 в BROCMON10? Откройте Procmon.exe в Hexeditor (я использовал winhex) и откройте диалоговое окно поиска и замены строк. Найдите: «PROCMON» Замените на: «BROCMON» Параметры: Учитывать регистр, Поиск и замена строки Unicode. Сохранить и готово.
Хмм, изменение заголовка строки "Process Monitor" на "Brocess Monitor" полностью обойдет алгоритм обнаружения Themida и позволит отслеживать его с помощью PM. Однако я не рекомендую делать это, так как это может быть незаконно. Ой
https://forum.sysinternals.com/process-monitor-themida-tweakvi-clash_topic15130.html
Я пытаюсь переименовать имя драйвера с PROCMON23 на BROCMON23. В новой версии procmon это PROCMON23 вместо PROCMON10, и после выполнения поиска и замены с помощью шестнадцатеричного редактора exe-файл больше не запускается и выдает мне эту ошибку:
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
Как мне решить эту проблему?