我有一個程式偵測到我正在運行 procmon.exe,經過大量搜尋後我找到了這個解決方案:
PM 的裝置名稱是“PROCMON10”,如果您從控制台(cmd.exe)運行裝置管理員,就可以看到它,如下所示set devmgr_show_nonpresent_devices=1 devmgmt.msc 在視圖選項“顯示所有裝置”中啟用,然後開啟非即插即用節點。在那裡你可以看到PROCMON10。然而你不能用它做太多事情。刪除它不會卸載它,也不會阻止您重新啟動。
作為解決方法,只需將其重新命名為“BROCMON10”即可。所以現在Winlicense/Themida不會再抱怨了。如何將 PROCMON10 重新命名為 BROCMON10?在十六進位編輯器(我使用 winhex)中開啟 Procmon.exe 並開啟「字串搜尋和取代」對話方塊。搜尋:「PROCMON」 替換為:「BROCMON」 選項:關心大小寫、搜尋、取代 Unicode 字串。儲存並完成。
嗯,將“Process Monitor”標題行更改為“Brocess Monitor”將完全繞過 Themida 的檢測演算法,並允許使用 PM 對其進行監控。但我不建議這樣做,因為這可能是非法的。哎喲
https://forum.sysinternals.com/process-monitor-themida-tweakvi-clash_topic15130.html
我正在嘗試將驅動程式名稱從 PROCMON23 重新命名為 BROCMON23。在新版本的 procmon 中,它是 PROCMON23 而不是 PROCMON10,並且在使用十六進位編輯器進行搜尋和替換後,exe 檔案不再運行並給出以下錯誤:
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
我該如何解決這個問題?