最近升级VS到了VS2022，VS已经是64位的了，智能提示非常流畅，但是还是想安装Visual Assist X看看有啥增强的，安装完发现试用期过期了。找了一圈发现没有针对64位的和谐补丁。于是就尝试能不能清理掉Visual Assist X保存的试用期配置信息，再试用一次。（试用发现好用再购买正版！！！）

于是开启procmon，想看看Visual Assist X保存的数据在哪里，神奇的事情发生了，竟然没有试用期提示了。好吧，原来VAX内部判断了如果开启了procmon，就做了一些特殊处理，不再操作数据了。发现只要使用procmon相同的窗口类名也可以达到相同的效果。

是的，事情到这里就结束了。

出于好奇，还是想知道VAX到底把数据存储在哪里，还害怕别人用procmon。把procmon的窗口信息隐藏了， 就可以开始监控了。但是想了想，觉得还是自己实现一个类似procmon的工具更有成就一点。于是乎，开源版本的procmon就诞生了。

iMonitor（冰镜 - 终端行为分析系统）源码：https://github.com/wecooperate/iMonitor

启动iMonitor，设置进程为devenv.exe，过滤堆栈模块包括VAX（因为VAX加壳了，实际模块地址没有路径，为NULL）的写操作（文件、注册表）。

于是乎，VAX的试用期信息保存马上就出来了。

注册表的Licenses、 Whole Tomato、临时目录的1489AFE4.TMP

还有一个特别猥琐的位置，一个随机的CLSID位置（每个机器不一样，从系统的CLSID复制了一份配置，然后加了加密字段保存数据）

把这几个位置的信息清理了，发现过期提醒就没有了，又能开心写代码了。

详细过滤规则如下：

这个分析是出于学习的目的，反对盗版，喜欢VAX的请购买正版软件。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课