KsDumper

Dank mastercodeon314 gibt es jetzt einen Port, der unter Windows 11 funktioniert. Viel Spaß!
https://github.com/mastercodeon314/KsDumper-11

Ich hatte schon immer ein Interesse am Reverse Engineering. Vor ein paar Tagen wollte ich mir zum Spaß ein paar Spielinterna ansehen, aber es war verpackt und durch EAC (EasyAntiCheat) geschützt. Das bedeutet, dass sein Handle entfernt wurde und ich den Prozess nicht von Ring3 löschen konnte. Ich beschloss, einen benutzerdefinierten Treiber zu erstellen, der es mir ermöglichen würde, den Prozessspeicher zu kopieren, ohne OpenProcess zu verwenden. Ich wusste nichts über den Windows-Kernel und die PE-Dateistruktur und habe daher viel Zeit damit verbracht, Artikel und Foren zu lesen, um dieses Projekt zu erstellen.

• Dump jedes Prozesshauptmoduls mit einem Kernel-Treiber (sowohl x86 als auch x64)
• PE32/PE64-Header und -Abschnitte neu erstellen
• Funktioniert bei geschützten Systemprozessen und Prozessen mit entfernten Handles (Anti-Cheats)

Hinweis : Die Importtabelle wird nicht neu erstellt.

Vor der Verwendung von KsDumperClient muss der KsDumper-Treiber geladen werden.

Da es nicht signiert ist, müssen Sie es nach Belieben laden. Ich verwende drvmap für Win10. In dieser Version ist alles enthalten, wenn Sie es auch verwenden möchten.

• Führen Sie Driver/LoadCapcom.bat als Administrator aus. Drücken Sie noch keine Taste und schließen Sie das Fenster noch nicht!
• Führen Sie Driver/LoadUnsignedDriver.bat als Administrator aus.
• Drücken Sie die Eingabetaste im LoadCapcom -Befehl, um den Treiber zu entladen.
• Führen Sie KsDumperClient.exe aus.
• Profitieren Sie!

Hinweis : Der Treiber bleibt geladen, bis Sie neu starten. Wenn Sie also KsDumperClient.exe schließen, können Sie es einfach erneut öffnen!
Hinweis2 : Auch wenn sowohl x86- als auch x64-Prozesse ausgegeben werden können, muss dies unter x64-Windows ausgeführt werden.

Dieses Projekt war für mich eine Möglichkeit, mehr über den Windows-Kernel, die PE-Dateistruktur und die Interaktionen zwischen Kernel und Benutzerbereich zu erfahren. Es wurde ausschließlich zu Informations- und Bildungszwecken zur Verfügung gestellt.

Angesichts der Art dieses Projekts wird dringend empfohlen, es in einer Virtual Environment auszuführen. Ich bin nicht verantwortlich für etwaige Abstürze oder Schäden, die Ihrem System passieren könnten.

Wichtig : Dieses Tool versucht nicht, sich zu verstecken. Wenn Sie auf geschützte Spiele abzielen, kann der Anti-Cheat dies als Cheat markieren und Sie nach einer Weile sperren. Nutzen Sie eine Virtual Environment !

• https://github.com/not-wlan/drvmap
• https://github.com/Zer0Mem0ry/KernelBhop
• https://github.com/NtQuery/Scylla/
• http://terminus.rewolf.pl/terminus/
• https://www.unknowncheats.me/

• Erfordert Visual Studio 2017
• Erfordert Windows Driver Kit (WDK)
• Erfordert .NET 4.6.1