procmon.exeを実行していることを検出するプログラムがあり、多くの検索を行った後、このソリューションが見つかりました。
PMのデバイス名は「PROCMON10」です。このようにコンソール(cmd.exe)からデバイスマネージャーを実行すると、devmgr_show_nonpresent_devices = 1 devmgmt.msc表示オプションで「すべてのデバイスを表示」を有効にしてから開くことができます。非プラグアンドプレイノード。そこでPROCMON10を見ることができます。しかし、あなたはそれで多くのことをすることはできません。削除してもアンロードされず、再起動から保護されません。
回避策として、「BROCMON10」に名前を変更します。そのため、Winlicense / Themidaはこれについてもう文句を言いません。PROCMON10の名前をBROCMON10に変更する方法は?HexeditorでProcmon.exeを開き(winhexを使用しました)、[文字列の検索と置換]ダイアログを開きます。検索: "PROCMON"置換: "BROCMON"オプション:大文字と小文字の区別、Unicode文字列の検索と置換。保存して完了。
「プロセスモニター」のタイトル行を「Brocess Monitor」に変更すると、Themidaの検出アルゴリズムが完全に回避され、PMで監視できるようになります。ただし、違法である可能性があるため、これを行うことはお勧めしません。痛い
https://forum.sysinternals.com/process-monitor-themida-tweakvi-clash_topic15130.html
ドライバー名をPROCMON23からBROCMON23に変更しようとしています。procmonの新しいバージョンでは、PROCMON10ではなくPROCMON23であり、16進エディターを使用して検索および置換を実行した後、exeファイルは実行されなくなり、このエラーが表示されます。
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
どうすれば問題を解決できますか?