Process Monitor 3.50 を Windows 2000で動かす

いまどきのSysinternalsと2000おじさん
前の記事で procmon (v3.50) がドライバーのロードに失敗して動かなかったのが納得いかないので解析してみました。

Filemon で観察すると ProcMon24.sys と言うファイルが一時的にできて消えるのを観測。
そのドライバーを抜き出して解析してみました。

L100068D0:
 push ebp
 mov ebp,esp
 push 00000000h
 push L1000C3EC
 push 00000000h
 push 00000000h
 call [ntoskrnl.exe!PsGetVersion] //Windows のビルド番号を取得
 cmp dword ptr [L1000C3EC],00000A28h // 2600 未満だったら死ぬ!
 jnc L100068F9
 mov eax,C00000BBh // STATUS_NOT_SUPPORTED この要求はサポートされていません。
 pop ebp
 retn 0008h

ちょっ、何このピンポイントな嫌がらせ(((・ω・)))

変更点は2か所

CEDA8: E1E30100 -> 4CE20100
D494A: 280A0000 -> 83080000

これで動きました!

Process Monitor 3.03 を Windows 2000で

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です