KsDumper
v1.1
بفضل mastercodeon314، يوجد الآن منفذ يعمل على نظام التشغيل Windows 11. استمتع!
https://github.com/mastercodeon314/KsDumper-11
لقد كان لدي دائمًا اهتمام بالهندسة العكسية. منذ بضعة أيام كنت أرغب في إلقاء نظرة على بعض الأجزاء الداخلية للعبة من أجل المتعة، ولكنها كانت معبأة ومحمية بواسطة EAC (EasyAntiCheat). هذا يعني أنه تم تجريد مقبضه ولم أتمكن من تفريغ العملية من Ring3. قررت أن أحاول إنشاء برنامج تشغيل مخصص يسمح لي بنسخ ذاكرة العملية دون استخدام OpenProcess. لم أكن أعرف شيئًا عن Windows kernel أو بنية ملفات PE، لذلك قضيت الكثير من الوقت في قراءة المقالات والمنتديات لإنشاء هذا المشروع.
ملاحظة : لم تتم إعادة إنشاء جدول الاستيراد.
قبل استخدام KsDumperClient، يجب تحميل برنامج تشغيل KsDumper.
إنه غير موقع لذا تحتاج إلى تحميله كيفما تريد. أنا أستخدم drvmap لنظام Win10. يتم توفير كل شيء في هذا الإصدار إذا كنت تريد استخدامه أيضًا.
Driver/LoadCapcom.bat كمسؤول. لا تضغط على أي مفتاح أو تغلق النافذة بعد!Driver/LoadUnsignedDriver.bat كمسؤول.LoadCapcom cmd لإلغاء تحميل برنامج التشغيل.KsDumperClient.exe . ملاحظة : يظل برنامج التشغيل محملاً حتى تقوم بإعادة التشغيل، لذلك إذا قمت بإغلاق KsDumperClient.exe، فيمكنك إعادة فتحه!
ملاحظة 2 : على الرغم من أنه يمكنه تفريغ عمليتي x86 وx64، إلا أنه يجب تشغيله على نظام التشغيل x64 Windows.
كان هذا المشروع بمثابة وسيلة بالنسبة لي للتعرف على Windows kernel وبنية ملفات PE وتفاعلات مساحة مستخدم kernel. وقد تم إتاحتها للأغراض المعلوماتية والتعليمية فقط.
بالنظر إلى طبيعة هذا المشروع، يوصى بشدة بتشغيله في Virtual Environment . أنا لست مسؤولاً عن أي عطل أو ضرر قد يحدث لنظامك.
هام : هذه الأداة لا تحاول إخفاء نفسها. إذا كنت تستهدف ألعابًا محمية، فقد تشير أداة مكافحة الغش إلى ذلك على أنه غش وتحظرك بعد فترة. استخدم Virtual Environment !
