Eu tenho um programa que detecta que estou executando procmon.exe e depois de pesquisar muito eu encontrei esta solução:
The Device Name of PM is 'PROCMON10' You can see it if you run the Device Manager from the console (cmd.exe) like this set devmgr_show_nonpresent_devices=1 devmgmt.msc Enable in the View option 'show all devices' and then open the non-plug&play node. There you can see PROCMON10. However you can't do much with it. Deleting it does not unload it and will not preserve you from rebooting.
Como solução, basta renomeá-lo para 'BROCMON10'. Então agora Winlicense / Themida não vai mais reclamar. Como renomear PROCMON10 para BROCMON10? Abra o Procmon.exe em um Hexeditor (usei o winhex) e abra a caixa de diálogo Pesquisar e substituir seqüência de caracteres. Procurar: "PROCMON" Substituir por: Opções "BROCMON": Cuidado com o caso, pesquisar e substituir String Unicode. Salvar e pronto.
Hmm alterando a linha de título de "Process Monitor" para "Brocess Monitor "irá contornar completamente o algoritmo de detecção de Themida e permite monitorá-lo com PM. No entanto, eu não recomendo faça isso, pois pode ser ilegal. Ai
Estou tentando renomear o nome do driver de PROCMON23 para BROCMON23. Na nova versão do procmon é PROCMON23 ao invés de PROCMON10, e depois de fazer uma busca e substituição usando um editor hexadecimal, o arquivo exe não roda mais e me dá este erro:
---------------------------
Procmon.exe - Application Error
---------------------------
The application was unable to start correctly (0xc0000005). Click OK to close the application.
---------------------------
OK
---------------------------
Como posso resolver o problema?
Tags hex-editor procmon debugger