KsDumper

mastercodeon314のおかげで、Windows 11 で動作する移植版が完成しました。お楽しみください。
https://github.com/mastercodeon314/KsDumper-11

私はずっとリバースエンジニアリングに興味がありました。数日前、楽しみのためにゲームの内部を見たいと思ったのですが、EAC (EasyAntiCheat) によってパックされ、保護されていました。これは、ハンドルが削除され、Ring3 からプロセスをダンプできなかったことを意味します。 OpenProcess を使用せずにプロセス メモリをコピーできるカスタム ドライバーを作成してみることにしました。 Windows カーネルや PE ファイル構造については何も知らなかったので、このプロジェクトを作成するために記事やフォーラムを読むのに多くの時間を費やしました。

• カーネルドライバー (x86 と x64 の両方) を使用してプロセスのメインモジュールをダンプします。
• PE32/PE64 ヘッダーとセクションを再構築する
• 保護されたシステムプロセスとストリップされたハンドルを持つプロセスで動作します (アンチチート)

注: インポート テーブルは再構築されません。

KsDumperClient を使用する前に、KsDumper ドライバーを読み込む必要があります。

署名されていないため、必要に応じてロードする必要があります。 Win10のdrvmapを使用しています。このリリースでも使用したい場合は、すべてがこのリリースで提供されます。

• Driver/LoadCapcom.bat管理者として実行します。まだキーを押したりウィンドウを閉じたりしないでください。
• Driver/LoadUnsignedDriver.bat管理者として実行します。
• LoadCapcom cmd で Enter キーを押してドライバーをアンロードします。
• KsDumperClient.exeを実行します。
• 利益 ！

注: ドライバーは再起動するまで読み込まれたままになるため、KsDumperClient.exe を閉じても再度開くだけで済みます。
注2 : x86 プロセスと x64 プロセスの両方をダンプできますが、これは x64 Windows 上で実行する必要があります。

このプロジェクトは、私にとって Windows カーネル、PE ファイル構造、カーネルとユーザー空間の相互作用について学ぶ方法でした。これは情報提供および教育目的のみに公開されています。

このプロジェクトの性質を考慮すると、 Virtual Environmentで実行することを強くお勧めします。私はあなたのシステムに起こる可能性のあるクラッシュや損傷については責任を負いません。

重要: このツールは、それ自体を非表示にすることはありません。保護されたゲームをターゲットにした場合、アンチチートはこれをチートとしてフラグを立て、しばらくしてから禁止する可能性があります。 Virtual Environmentを使おう！

• https://github.com/not-wlan/drvmap
• https://github.com/Zer0Mem0ry/KernelBhop
• https://github.com/NtQuery/Scylla/
• http://terminus.rewolf.pl/terminus/
• https://www.unknowncheats.me/

• Visual Studio 2017が必要です
• Windows ドライバー キット (WDK) が必要です
• .NET 4.6.1が必要です