Eso SOLO funciona (en XP o superiores ya que sc no esta en anteriores versiones de Windows) si el servicio/driver tiene implementada la funcion de stop/unload.
Lo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee
El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente.
Entonces seguramente sea un analisis estatico, puede que tengas dentro las cadenas "fake" y "msn" - en los recursos de version por ejemplo - Trata de reproducir el programa, agregando de una en una sus funcionalidades hasta que lo detecte ...
dumpbin calc.exe /headers Microsoft (R) COFF/PE Dumper Version 8.00.50727.42 Copyright (C) Microsoft Corporation. All rights reserved.
Dump of file c:\windows\system32\calc.exe
PE signature found
File Type: EXECUTABLE IMAGE
FILE HEADER VALUES 14C machine (x86) 4 number of sections 4549B0BE time date stamp Thu Nov 02 09:47:58 2006 0 file pointer to symbol table 0 number of symbols E0 size of optional header 102 characteristics Executable 32 bit word machine
OPTIONAL HEADER VALUES 10B magic # (PE32) 8.00 linker version 12E00 size of code 18800 size of initialized data 0 size of uninitialized data 126FE entry point (010126FE) _WinMainCRTStartup 1000 base of code 14000 base of data 1000000 image base (01000000 to 0102DFFF) 1000 section alignment 200 file alignment 6.00 operating system version 6.00 image version 6.00 subsystem version 0 Win32 version 2E000 size of image 400 size of headers 39B6F checksum 2 subsystem (Windows GUI) 8140 DLL characteristics RESERVED - UNKNOWN NX compatible Terminal Server Aware 40000 size of stack reserve 2000 size of stack commit 100000 size of heap reserve 1000 size of heap commit 0 loader flags 10 number of directories
Si cambias ese 6 por un 5 el error ese ya no se producira, aunque los dos programas que probe (calc y notepad) tienen funciones importadas que no existen en XP asi que tampoco cargan pero muesta otro error.
Los depuradores no te sirven (directamente) en este caso ya que la imagen es rechazada por el mismo loader, tendrias que depurar el loader (bajo el contexto del depurador) o para hacerla mas simple ejecutarlo desde cmd y depurar cmd.
Mostrar Mensajes
Trata de reproducir el programa, agregando de una en una sus funcionalidades hasta que lo detecte ...
) q solo pongo este post para confirmar q esa es la api, y para dar las gracias 
