KsDumper

mastercodeon314 덕분에 이제 Windows 11에서 작동하는 포트가 있습니다. 즐겨보세요!
https://github.com/mastercodeon314/KsDumper-11

저는 항상 리버스 엔지니어링에 관심이 있었습니다. 며칠 전 재미삼아 게임 내부를 살펴보고 싶었지만 EAC(EasyAntiCheat)로 보호되어 있었습니다. 이는 해당 핸들이 제거되어 Ring3에서 프로세스를 덤프할 수 없음을 의미합니다. 저는 OpenProcess를 사용하지 않고 프로세스 메모리를 복사할 수 있는 사용자 정의 드라이버를 만들기로 결정했습니다. 저는 윈도우 커널, PE 파일 구조에 대해 아무것도 몰랐기 때문에 이 프로젝트를 만들기 위해 기사와 포럼을 읽는 데 많은 시간을 보냈습니다.

• 커널 드라이버(x86 및 x64 모두)를 사용하여 모든 프로세스 기본 모듈을 덤프합니다.
• PE32/PE64 헤더 및 섹션 재구축
• 보호된 시스템 프로세스 및 핸들이 벗겨진 프로세스에서 작동합니다(치트 방지).

참고 : 가져오기 테이블은 다시 작성되지 않습니다.

KsDumperClient를 사용하기 전에 KsDumper 드라이버를 로드해야 합니다.

서명되지 않았으므로 원하는 대로 로드해야 합니다. Win10에서는 drvmap을 사용하고 있습니다. 당신이 그것을 사용하고 싶다면 모든 것이 이 릴리스에서 제공됩니다.

• Driver/LoadCapcom.bat 관리자로 실행합니다. 아직 아무 키도 누르거나 창을 닫지 마세요!
• Driver/LoadUnsignedDriver.bat 관리자로 실행합니다.
• LoadCapcom cmd에서 Enter 키를 눌러 드라이버를 언로드합니다.
• KsDumperClient.exe 실행합니다.
• 이익 !

참고 : 드라이버는 재부팅할 때까지 로드된 상태로 유지되므로 KsDumperClient.exe를 닫은 경우 다시 열면 됩니다!
참고 2 : x86 및 x64 프로세스를 모두 덤프할 수 있더라도 x64 Windows에서 실행해야 합니다.

이 프로젝트는 Windows 커널, PE 파일 구조 및 커널-사용자 공간 상호 작용에 대해 배울 수 있는 방법이었습니다. 이 정보는 정보 제공 및 교육 목적으로만 제공되었습니다.

본 프로젝트의 특성을 고려하여 Virtual Environment 에서 실행하는 것을 적극 권장합니다. 나는 귀하의 시스템에 발생할 수 있는 충돌이나 손상에 대해 책임을 지지 않습니다.

중요 : 이 도구는 자신을 숨기려고 시도하지 않습니다. 보호된 게임을 대상으로 하는 경우 치트 방지 기능이 이를 치트로 표시하고 잠시 후 사용자를 차단할 수 있습니다. Virtual Environment 사용하세요!

• https://github.com/not-wlan/drvmap
• https://github.com/Zer0Mem0ry/KernelBhop
• https://github.com/NtQuery/Scylla/
• http://terminus.rewolf.pl/terminus/
• https://www.unknowncheats.me/

• Visual Studio 2017 필요
• WDK(Windows 드라이버 키트)가 필요합니다.
• .NET 4.6.1 필요