KsDumper

Grâce à mastercodeon314, il existe désormais un portage fonctionnant sous Windows 11. Profitez-en !
https://github.com/mastercodeon314/KsDumper-11

J'ai toujours eu un intérêt pour l'ingénierie inverse. Il y a quelques jours, je voulais jeter un œil à certains éléments internes du jeu pour m'amuser, mais il était emballé et protégé par EAC (EasyAntiCheat). Cela signifie que son handle a été supprimé et que je n'ai pas pu vider le processus de Ring3. J'ai décidé d'essayer de créer un pilote personnalisé qui me permettrait de copier la mémoire du processus sans utiliser OpenProcess. Je ne connaissais rien au noyau Windows ni à la structure des fichiers PE, j'ai donc passé beaucoup de temps à lire des articles et des forums pour réaliser ce projet.

• Videz n'importe quel module principal de processus à l'aide d'un pilote du noyau (x86 et x64)
• Reconstruire l'en-tête et les sections PE32/PE64
• Fonctionne sur les processus système protégés et les processus avec des poignées supprimées (anti-triche)

Remarque : La table d'importation n'est pas reconstruite.

Avant d'utiliser KsDumperClient, le pilote KsDumper doit être chargé.

Il n'est pas signé, vous devez donc le charger comme vous le souhaitez. J'utilise drvmap pour Win10. Tout est fourni dans cette version si vous souhaitez également l'utiliser.

• Exécutez Driver/LoadCapcom.bat en tant qu'administrateur. N'appuyez sur aucune touche et ne fermez pas encore la fenêtre !
• Exécutez Driver/LoadUnsignedDriver.bat en tant qu’administrateur.
• Appuyez sur Entrée dans le cmd LoadCapcom pour décharger le pilote.
• Exécutez KsDumperClient.exe .
• Profit !

Note : Le pilote reste chargé jusqu'au redémarrage, donc si vous fermez KsDumperClient.exe, vous pouvez simplement le rouvrir !
Remarque 2 : Même s'il peut vider les processus x86 et x64, il doit fonctionner sous Windows x64.

Ce projet était pour moi un moyen d'en apprendre davantage sur le noyau Windows, la structure des fichiers PE et les interactions noyau-espace utilisateur. Il a été mis à disposition uniquement à des fins informatives et éducatives.

Compte tenu de la nature de ce projet, il est fortement recommandé de l'exécuter dans un Virtual Environment . Je ne suis pas responsable de tout crash ou dommage qui pourrait survenir à votre système.

Important : Cet outil ne tente pas de se cacher. Si vous ciblez des jeux protégés, l’anti-triche peut signaler cela comme une triche et vous bannir après un certain temps. Utilisez un Virtual Environment !

• https://github.com/not-wlan/drvmap
• https://github.com/Zer0Mem0ry/KernelBhop
• https://github.com/NtQuery/Scylla/
• http://terminus.rewolf.pl/terminus/
• https://www.unknowncheats.me/

• Nécessite Visual Studio 2017
• Nécessite le kit de pilotes Windows (WDK)
• Nécessite .NET 4.6.1