我有一个程序可以检测我正在运行 procmon.exe,经过大量搜索后我找到了这个解决方案:
PM 的设备名称是“PROCMON10”。如果您从控制台 (cmd.exe) 运行设备管理器,则可以看到它,如下所示:设置 devmgr_show_nonpresent_devices=1 devmgmt.msc 在“查看”选项中启用“显示所有设备”,然后打开非即插即用节点。在那里您可以看到 PROCMON10。但是您无法用它做太多事情。删除它不会卸载它,也不会阻止您重新启动。
解决方法是将其重命名为“BROCMON10”。所以现在 Winlicense/Themida 不会再抱怨它了。如何将 PROCMON10 重命名为 BROCMON10?在十六进制编辑器(我使用的是 winhex)中打开 Procmon.exe,然后打开字符串搜索和替换对话框。搜索:“PROCMON”替换为:“BROCMON”选项:注意大小写,搜索和替换 Unicode 字符串。保存并完成。
嗯,将标题行“进程监视器”更改为“进程监视器”将完全绕过 Themida 的检测算法并允许使用 PM 进行监视。但是我不建议这样做,因为这可能是非法的。哎哟
https://forum.sysinternals.com/process-monitor-themida-tweakvi-clash_topic15130.html
我正在尝试将驱动程序名称从 PROCMON23 重命名为 BROCMON23。在新版本的 procmon 中,它是 PROCMON23 而不是 PROCMON10,在使用十六进制编辑器进行搜索和替换后,exe 文件不再运行并出现此错误:
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
我该如何解决这个问题?