kdmapper

Creador original https://github.com/z175

Actualizado y mejorado por https://github.com/thecruz

Asignación de MDL escribida por https://github.com/tygol

Asignación de páginas independientes escritas por https://github.com/herooyyy/

Probado desde Windows 10 1607 a Windows 11 26100.1882 ✔️

Actualización principalmente realizada para el foro desconocido https://www.unknowncheats.me/forum/members/1117395.html

Kdmapper es una herramienta simple que explota el controlador IQVW64E.Sys Intel para mapear manualmente controladores no firmados en la memoria

Nota: Agregar definición Disable_output para eliminar todas las salidas de la consola

Nota: se puede recomendar como en el pasado establecer un punto de entrada personalizado como en el ejemplo de Helloworld para reducir el código generado en el binario

 Works with /GS- compiled drivers
Hooks NtAddAtom which exists everywhere and is rarely called
Clears MmUnloadedDrivers
Clears PiDDBCacheTable
Clears g_KernelHashBucketList
Clears Wdfilter RuntimeDriverList RuntimeDriverCount and RuntimeDriverArry
Use NtLoadDriver and NtUnloadDriver for less traces
Prevent load if DeviceNal exists (Prevents BSOD)
Header section skipped while copying driver to kernel
Added param --free to automatically unmap the allocated memory
Added param --mdl to map in mdl memory
Added param --indPages to map in allocated independent pages
Added param --PassAllocationPtr to pass allocation ptr as first param
Added the possibility to modify params before call driver entry
Now you can pass directly bytes to mapdriver function

 Return from driver entry fastest as you can to prevent unexpected calls or patch guard, don't ever create a infinite while loop in the driver entry, create a thread or any other procedure to keep code running (if you can't close kdmapper you are doing it wrong)
Disable vulnerable driver list if enabled https://support.microsoft.com/en-au/topic/kb5020779-the-vulnerable-driver-blocklist-after-the-october-2022-preview-release-3fcbe13a-6013-4118-b584-fcfbc6a09936

¡Justo como recordatorio, en la entrada del conductor, DriverObject y RegistrySpath son nulos a menos que especifique algo! Este es un controlador mapeado manual y no un procedimiento de carga normal

Mucha gente me pregunta sobre estos errores que cargan el conductor vulnerable, ambos son causados ​​por Faceit AC ya que su conductor siempre está funcionando, tienes que desinstalarlo.

El certificado ha sido bloqueado como vulnerable y el mapeador devolverá un estado de status_image_cert_revoked. Más información en Microsoft

Si desea deshabilitar su lista de controladores vulnerables, debe abrir regedit.exe, vaya a HKEY_LOCAL_MACHINE SYSTEM CurrentControlset Control Ci config y establezca 'VulnerabledRiverBlockListenable' como DWORD con valor 0 y se reinicie para aplicar los cambios

¡¡Divertirse!!

Si alguien interesado en crear una solicitud de extracción

¿Auto limpieza de la auto ejecución?

• Asistencia de usuario de registro
• Prefectando (debe eliminarse normalmente después de su actualización)
• Archivos recientes y Destinación automática
• Registro RECELDOCS
• ¿USN Journal tal vez?
• Opción de deleción de autocontrol?
• Opción de eliminación del controlador cargado?
• ¿Srum puede contener alguna información?
• ¿Conchas en Kdmapper nombradas carpetas?

¿Mensajes para errores de carga comunes?