KsDumper
v1.1
Gracias a mastercodeon314, ahora hay un puerto que funciona en Windows 11. ¡Disfrútalo!
https://github.com/mastercodeon314/KsDumper-11
Siempre tuve interés en la ingeniería inversa. Hace unos días quería ver algunas partes internas del juego por diversión, pero estaba empaquetado y protegido por EAC (EasyAntiCheat). Esto significa que se le quitó el identificador y no pude deshacerme del proceso de Ring3. Decidí intentar crear un controlador personalizado que me permitiera copiar la memoria del proceso sin usar OpenProcess. No sabía nada sobre el kernel de Windows ni la estructura de archivos PE, así que pasé mucho tiempo leyendo artículos y foros para realizar este proyecto.
Nota : la tabla de importación no se reconstruye.
Antes de utilizar KsDumperClient, es necesario cargar el controlador KsDumper.
No está firmado, por lo que debes cargarlo como quieras. Estoy usando drvmap para Win10. Todo se proporciona en esta versión si desea utilizarlo también.
Driver/LoadCapcom.bat como administrador. ¡No presiones ninguna tecla ni cierres la ventana todavía!Driver/LoadUnsignedDriver.bat como administrador.LoadCapcom para descargar el controlador.KsDumperClient.exe . Nota : El controlador permanece cargado hasta que reinicie, por lo que si cierra KsDumperClient.exe, ¡puede volver a abrirlo!
Nota 2 : Aunque puede volcar procesos x86 y x64, debe ejecutarse en Windows x64.
Este proyecto fue una manera de aprender sobre el kernel de Windows, la estructura de archivos PE y las interacciones entre el kernel y el espacio del usuario. Se ha puesto a disposición únicamente con fines informativos y educativos.
Teniendo en cuenta la naturaleza de este proyecto, se recomienda encarecidamente ejecutarlo en un Virtual Environment . No soy responsable de ningún fallo o daño que pueda ocurrirle a su sistema.
Importante : esta herramienta no intenta ocultarse. Si te diriges a juegos protegidos, el anti-trampas podría marcarlo como trampa y prohibirte después de un tiempo. Utilice un Virtual Environment !
